Présentation d'audit

de l'utilisation d'AWS

Octobre 2015
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

© 2015, Amazon Web Services, Inc. ou ses sociétés affiliées. Tous droits réservés.

Mentions légales
Ce document est fourni à titre informatif uniquement. Il présente l'offre de
produits et les pratiques actuelles d'AWS à la date de publication de ce
document, des informations qui sont susceptibles d'être modifiées sans préavis.
Il incombe aux clients de procéder à leur propre évaluation indépendante des
informations contenues dans ce document et chaque client est responsable de
son utilisation des produits ou services AWS, chacun étant fourni « en l'état »,
sans garantie d'aucune sorte, qu'elle soit explicite ou implicite. Ce document
n'offre pas de garantie, représentation, engagement contractuel, condition ou
assurance de la part d'AWS, de ses sociétés apparentées, fournisseurs ou
concédants de licence. Les responsabilités et obligations d'AWS vis-à-vis de ses
clients sont régies par les contrats AWS. Le présent document ne fait partie
d'aucun contrat et ne modifie aucun contrat entre AWS et ses clients.

Page 2 sur 28
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Table des matières

Résumé 4
Introduction 5
Approches pour l'utilisation des guides de vérification AWS 6
Examinateurs 6
Données fournies par AWS 6
Audit de l'utilisation des concepts AWS 8
Identification des actifs dans AWS 9
Identificateurs de compte AWS 9
1. Gouvernance 10
2. Configuration réseau et gestion 14
3. Configuration et gestion des ressources 16
4. Contrôle d'accès logiques 17
5. Chiffrement des données 19
6. Journalisation et surveillance de la sécurité 20
7. Réponse aux incidents de sécurité 21
8. Récupération après sinistre 22
9. Contrôles hérités 23
Annexe A : Références et suggestions de lecture 26
Annexe B : Glossaire 27
Annexe C : Appels d’API 28

Page 3 sur 28
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Résumé
La sécurité chez AWS est une priorité. Tous les clients AWS bénéficient d'un
centre de données et d'une architecture réseau conçus pour satisfaire aux
exigences des organisations les plus pointilleuses en termes de sécurité. Afin de
répondre à ces besoins de conformité, AWS permet aux clients d'appréhender les
contrôles rigoureux mis en place chez AWS pour assurer la sécurité et la
protection des données dans le cloud.

Lorsque des systèmes sont créés sur l'infrastructure cloud AWS, les
responsabilités en termes de conformité sont partagées. En reliant les fonctions
de service axées sur la gouvernance, propices aux audits, aux normes de
conformité ou d'audit en vigueur, les aides à la conformité d'AWS s'appuient sur
des programmes classiques pour vous aider à construire et à opérer dans un
environnement de contrôle de sécurité AWS

AWS gère l'infrastructure sous-jacente et vous gérez la sécurité de tous les

éléments que vous déployez dans AWS. AWS en tant que plateforme moderne
vous permet de structurer la conception de la sécurité, ainsi que les contrôles
d'audit automatisées, fiables et vérifiable via des techniques et processus
opérationnels intégrées dans chaque compte client AWS. Le cloud simplifie
l'utilisation du système pour les administrateurs ceux qui exécutent
l'informatique, et rend votre environnement AWS beaucoup plus simple pour
auditer les tests d'échantillons car AWS peut déplacer les audits vers une
vérification à 100% des tests d'échantillons traditionnels.

En outre, des outils de données d'AWS peuvent être adaptées aux exigences du
client et aux objectifs de mise à l'échelle et de vérification, en plus de prendre en
charge la vérification et la création de rapports en temps réel via l'utilisation
d'outils internes tels que AWS CloudTrail, Config et CloudWatch. Ces outis sont
conçus pour vous aider à optimiser la protection de vos services, données et
applications. Ainsi, les clients AWS peuvent consacrer moins de temps aux
tâches de routine en matière de sécurité et d'audit, et peuvent davantage se
concentrer sur les mesures proactives qui peuvent continuer à améliorer les
capacités de sécurité et d'audit de l'environnement client AWS.

Page 4 sur 28
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Introduction
A mesure que de plus en plus de clients déploient des charges de travail dans le
cloud, les auditeurs ont de plus en plus besoin non seulement de comprendre
comment le cloud fonctionne, mais également comment tirer parti de la
puissance du cloud computing lors des audits. Le cloud AWS permet aux
auditeurs de passer un test d'échantillonnage basé sur un pourcentage à une vue
de l'audit en temps réel, ce qui permet d'auditer 100 % de l'environnement du
client, ainsi qu'une gestion des risques en temps réel.

La console de gestion d'AWS, ainsi que l'interface de ligne de commande (CLI),

peuvent produire de puissants résultats pour les auditeurs de plusieurs autorités
des réglementations, des normes et de l'industrie. Ceci est dû au fait qu'AWS
prend en charge une multitude de configurations de sécurité pour établir la
sécurité, la conformité et la conception en temps réel des fonctionnalités d'audit
grâce à l'utilisation de :

• Automatisation - L'ifrastructure contrôlable par script (par exemple,

l'infrastructure en tant que code reproductible) vous permet de créer des
systèmes de déploiement reproductibles, fiables et sécurisé, en tirant
profit des déploiements de services programmables (pilotés par API).

• Architectures scriptables - Les environnements «Golden» et les

Amazon Machine Images (AMI) peuvent être déployés pour les services
fiables et contrôlables, et ils peuvent être limités pour assurer la gestion
des risques en temps réel.

• Distribution - Les fonctionnalités fournie par AWS CloudFormation

donne aux administrateurs de système l'opportunité de créer facilement
une collection de ressources AWS liées et de les mettre en service de
manière ordonnée et prévisible.

• Vérifiable - L'utilisation de AWS CloudTrail, Amazon CloudWatch,

AWS OpsWorks et AWS CloudHSM permet la collecte de preuves.

Page 5 sur 28
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Approches pour l'utilisation des guides

de vérification AWS
Examinateurs
Lors de l'évaluation des organisations qui utilisent les services AWS, il est
essentiel de comprendre le modèle de « responsabilité partagée » entre AWS et
le client. Le guide d'audit organise les exigences du programme de sécurité
commune dans les contrôles et contrôler les zones. Chaque commande référence
les exigences applicables en matière d'audit.

En général, les services AWS doivent être traitées de la même manière que les
services d'infrastructure sur site qui ont été traditionnellement utilisés par les
clients pour les services d'exploitation et les applications. Les procédures et
processus qui s'appliquent à tous les appareils et tous les serveurs doivent
également s'appliquer lorsque ces fonctions sont fournies par AWS. Les
contrôles concernant uniquement une politique ou une procédure sont
généralement entièrement sous la responsabilité du client. De même, la gestion
AWS , soit via la console AWS ou l' API de ligne de commande, doit être traitée
comme tout autre accès administrateur privilégié. Reportez-vous à l'annexe et
aux points référencés pour plus d'informations.

Données fournies par AWS

Le programme de conformité cloud d'Amazon Web Services vous permet de
comprendre les contrôles de sécurité renforcés dans AWS destinés à assurer la
sécurité et la protection des données dans le cloud. Lorsque des systèmes sont
créés sur l'infrastructure cloud AWS, les responsabilités en termes de conformité
sont partagées. Chaque certification implique qu'un auditeur a vérifié les
contrôles de sécurité spécifiques mis en place et leur bon fonctionnement. Vous
pouvez consulter les rapports de conformité applicables en les demandant
auprès de votre gestionnaire de compte AWS. Pour en savoir plus sur les normes
et réglementations de sécurité auxquelles AWS se conforme, consultez la page
Web Conformité AWS. Afin de vous aider à respecter certaines normes et

Page 6 sur 28
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015
réglementations établies par le gouvernement, le secteur et la société, AWS
propose des rapports de certification qui décrivent la façon dont l'infrastructure
de cloud AWS répond aux exigences d'une longue liste de normes de sécurité à
l'échelle internationale, y compris : ISO 27001, SOC, la norme de sécurité des
données PCI, FedRAMP, le manuel de sécurité des informations de l'Australian
Signals Directorate (ASD), et la norme Singapore Multi-Tier Cloud Security
Standard (MTCS SS 584).

Pour en savoir plus sur les normes et réglementations de sécurité auxquelles

AWS se conforme, consultez la page Web Conformité AWS.

Page 7 sur 28
Audit de l'utilisation des concepts AWS
Les concepts suivants doivent être considérés lors d'un audit de sécurité des
systèmes et données d'une organisation sur AWS :

• les mesures de sécurité que le fournisseur de service de cloud (AWS) met

en œuvre et exploite, la « sécurité du cloud » ;

• les mesures de sécurité que le client met en œuvre et applique, en lien

avec la sécurité du contenu du client et les applications qui utilisent les
services AWS, la « sécurité dans le cloud ».
AWS gère la sécurité du cloud, mais la sécurité dans le cloud relève de la
responsabilité du client. Les clients gardent le contrôle de la sécurité qu'ils
choisissent de mettre en place afin de protéger leurs propres contenus,
plateformes, applications, systèmes et réseaux, de la même manière que s'ils
plaçaient leurs applications dans un centre de données sur site.

Vous trouverez des détails supplémentaires à AWS Security Center, la page

Conformité AWS et dans les livres blancs AWS disponibles publiquement à
l'adresse : Livres blancs AWS
Identification des actifs dans AWS
Les actif s AWS d'un client peuvent être les instances, les magasins de données,
les applications et les données elles-mêmes. L'audit de l'utilisation d'AWS
commence généralement par l'identification des actifs. Les actifs sur une
infrastructure de cloud public ne sont pas catégoriquement différents des
environnements internes -, et dans certaines situations peuvent être moins
complexes à inventorier, car AWS fournit une visibilité sur les actifs gérés.

Identificateurs de compte AWS

AWS attribue deux ID uniques à chaque compte AWS : un ID de compte AWS et
un ID d'utilisateur canonique. L'ID de compte AWS comporte 12 chiffres
(123456789012, par exemple), et permet de créer des ARN (Amazon Resource
Names). Lorsque vous vous référez aux ressources, comme un utilisateur IAM
ou un coffre Amazon Glacier, l'ID de compte distingue vos ressources de celles
des autres comptes AWS.

ARN (Amazon Resource Name) et Service d'espaces de noms AWS

Les noms ARN identifient uniquement des ressources AWS. L'ARN permet de
spécifier une ressource sans aucune ambiguïté sur l'ensemble d'AWS, par
exemple dans les stratégies IAM, des balises Amazon Relational Database
Service (Amazon RDS), et les appels d'API.

Exemple de format ARN :

En plus de Account Identifiers, ARN (Amazon Resource Name) et AWS Service

Namespaces, chaque service AWS crée un identificateur de service unique (par
exemple, Amazon Elastic Compute Cloud (Amazon EC2) ID d'instance : je i-
3d68c5cb ou Amazon Elastic Block Store (Amazon EBS) Volume ID de vol-
ecd8c122) qui peut être utilisé pour créer un inventaire des actifs
environnementaux et utilisé dans les documents de travail pour la portée de
l'audit et de l'inventaire.

Chaque certification implique qu'un auditeur a vérifié les contrôles de sécurité

spécifiques mis en place et leur bon fonctionnement.
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

1. Gouvernance
Définition : Gouvernance garantit que la direction et l'intention du client sont
reflétées dans la situation de sécurité du client. Ceci est obtenu en utilisant une
approche structurée à la mise en œuvre d'un programme de sécurité des
informations. Dans le cadre de ce plan d'audit, cela signifie comprendre quels
services AWS ont été achetées, quels types de systèmes et d'informations vous
pensez utiliser avec le service AWS, ainsi que les politiques, procédures et
programmes qui s'appliquent à ces services.

Principal objectif d'audit : Comprendre quels services et ressources AWS

sont utilisés et s'assurer que votre programme de gestion des risques de sécurité
a pris en compte l'utilisation de l'environnement du cloud public.

Approche d'audit : Dans le cadre de cette vérification, déterminez qui au sein

de votre organisation est un compte AWS et propriétaire de ressources, ainsi que
les ressources et services AWS qu'ils utilisent. Vérifiez que les stratégies, les plans
et les procédures incluent les concepts liés au cloud, et que le cloud est inclus
dans le champ d'application de la vérification du client.

Checklist de gouvernance
Liste de contrôle de l'objet
Comprendre l'utilisation d'AWS au sein de votre organisation. Les approches pourraient
inclure :

• Sondage ou entretien avec vos équipes de développement et informatiques.

• Exécution des analyses de réseau ou d'une analyse plus en profondeur des tests
d'intrusion.

 Examinez les rapports de dépenses et/ou les paiements de commandes

d'achats (PO) liés à Amazon.com ou AWS pour comprendre quels services
sont utilisés. Les frais de carte de crédit s'affichent sous la forme « AMAZON
WEB SERVICES AWS.AMAZON.CO WA » ou similaire.

Remarque : Certaines personnes au sein de votre organisation peuvent avoir souscrit à

un compte AWS dans le cadre de leurs comptes personnels, cen tant que tel, envisagez
de demander si c'est le cas lors du sondage ou à interroger vos équipes de
développement et informatique.

Page 10 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

Identifier les actifs. Chaque compte AWS a une adresse e-mail de contact qui lui est
associé et peut être utilisé pour identifier les propriétaires de compte. Il est important
de comprendre que cette adresse e-mail peut être issue d'un fournisseur de services de
messagerie publique, en fonction de ce que l'utilisateur a spécifié lors de
• Une réunion officielle peut être réalisée avec chaque compte AWS ou propriétaire
d'actif pour comprendre ce qui est déployé sur AWS, la façon dont il est géré et la
façon dont il a été intégré à votre organisation en matière de sécurité des politiques,
procédures et normes.

Remarque : Le détenteur de compte AWS peut être une personne du service des
finances ou de l'approvisionnement, mais la personne qui implemente l'utilisation des
ressources AWS par l'organisation peut faire partie du service informatique. Vous
pouvez avoir besoin d'interroger les deux services.

Définissez vos limites AWS pour vérification. L'examen doit avoir une portée
définie. Comprendre les processus métiers de base de votre organisation et leur
conformité avec l'IT, dans sa forme non-cloud, ainsi que les implémentations de cloud
actuelless ou futures.

• Obtenez une description des services AWS utilisés et/ou envisagés.

• Après avoir identifié les types de services AWS en cours d'utilisation ou considérése,
déterminez les services et solutions commerciales à inclure dans la révision.

• Obtenez et passer en revue les rapports d'audit précédenes avec des plans de
remplacement.

• Identifiez les problèmes ouverts dans les rapports d'audit précédents et évaluez
les mises à jour pour les documents par rapport à ces problèmes.

Évaluer les stratégies. Évaluez et vérifiez votre organisation en matière de sécurité, de

confidentialité et de stratégies de classification des données pour déterminer quelles
stratégies s'appliquent à l'environnement de service AWS.

• Vérifiez s'il existe une politique et/ou un processus formel autour de l'acquisition
des services AWS pour déterminer comment l'achat des services AWS est autorisé.

• Vérifiez si les processus et stratégies de gestion des modifications de votre

organisation prennent en compte les services AWS

Page 11 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

Identification des risques. Déterminez si une évaluation des risques pour les actifs
concernés a été effectuée.

Examinez la documentation des risques. Après chaque élément de votre examen,

passez en revue les plans de traitement des risques et délais/étapes importantes par
rapport à vos politiques et procédures de gestion des risques.
Documentation et inventaire. Vérifiez que votre réseau AWS est entièrement
documentés et que tous les systèmes critiques AWS sont inclus dans leur
documentation d'inventaire, avec un accès limité à cette documentation.

• Passez en revue AWS Config pour un inventaire des ressources AWS et

historique de configuration des ressources (Exemple API Call, 1).

• Assurez-vous que les ressources sont correctement étiquetées et associées aux

données d'application.

• Vérifiez l'architecture de l'application pour identifier les flux de données, la

connectivité planifiée entre les éléments d'application et les ressources qui
contiennent des données.

• Vérifiez toutes les connectivité entre votre réseau et la plate-forme AWS en

passant en revue les ressources suivantes :

 Connexions VPN dans lesquelles les adresses IP publiques sur site des
clients sont mappés aux passerelles client dans n'importe quel VPC
appartenant au client.
Evaluation des risques. Evaluer la signification des données déployées par AWS
pour l'organisation des risques et de la tolérance aux risques. Assurez-vous que ces
ressources AWS sont intégrés dans le programme d'évaluation des risques formels.

• Les actifs AWS doivent être identifiée et associés à des objectifs de protection, en
fonction de leur profil de risque.

Intégrez l'utilisation d’AWS dans l'évaluation des risques. Effectuer et/ou

intégrer des éléments de service AWS dans votre processus d'évaluation des risques de
l'organisation. Les principaux risques peuvent inclure :

• Identifier les risques opérationnels associés à votre utilisation d'AWS et

identifier les chefs d'entreprise et les intervenants.

Page 12 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

• Vérifiez que les risques commerciaux sont alignés, cotées ou classés au sein de votre
utilisation des services AWS et vos critères de sécurité organisationnelle visant à
protéger la confidentialité, l'intégrité et la disponibilité.
• Vérification des audits précédents liésaux services AWS (SOC, PCI, NIST 800-
53 liées aux règles d'audit, etc.).
• Déterminez si les risques identifiés précédemment ont été correctement traités.
• Evaluez le facteur de risque pour effectuer votre révision AWS.
• En fonction de l'évaluation des risques,identifiez les modifications apportées à votre
vérification.
• Discutez des risques avec la gestion informatique et ajustez l'évaluation des risques.
Programme de sécurité informatique et stratégie. Vérifiez que le client intègre
les services AWS dans ses politiques et procédures de sécurité y compris les bonnes
pratiques au niveau du compte AWS, mises en évidence dans le service AWS Trusted
Advisor qui fournit de meilleures pratiques et des conseils sur les 4 sujets : de sécurité,
de coût, de performances et de tolérance aux pannes.

• Examinez vos stratégies de sécurité des informations et assurez-vous qu'elle inclut

les services AWS.
• Confirmez que vous avez affecté un ou des employé(s) comme autorité pour
l'utilisation et la sécurité des services AWS et que ces rôles clés sont définis y
compris un responsable de la sécurité de l'information.

Remarque : tout processus de gestion des risques de cybersécurité publiés

conformément aux normes que vous avez utilisé pour modéliser une architecture de
sécurité des informations et des processus.

• Assurez-vous que vous conservez la documentation pour prendre en charge

les vérifications effectuées pour les services AWS, y compris l'examen des
certifications indépendantes.

• Vérifiez que les enregistrements de formation interne incluent la sécurité AWS,

tels que Amazon IAM, Amazon EC2 Security Groups, et l'accès à distance aux
instances Amazon EC2.
• Confirmez qu'une stratégie de réponse à la cybersécurité et de formation
pour les services AWS est maintenue.
Remarque : toute assurance spécifiquement liée à l'utilisation par les clients des
services AWS et toute réclamation liée aux pertes et dépenses imputables aux
événements de cybersécurité en conséquence.

Page 13 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

Fournisseur de services de surveillance. Vérifiez que le contrat avec AWS
comprend une exigence pour mettre en place et maintenir la confidentialité et la sécurité
pour les exigences en matière de cybersécurité.

2. Configuration réseau et gestion

Définition : La gestion de réseau dans AWS est très similaire à la gestion de
réseau sur site, sauf que les composants réseau tels que les pare-feu et les
routeurs sont virtuels. Les clients doivent s'assurer que l'architecture réseau
respecte les exigences de sécurité de leur organisation, y compris l'utilisation de
zones démilitarisées (DMZ) pour séparer les ressources publiques et privées,
(non fiables et approuvées), la séparation des ressources à l'aide des sous-réseaux
et des tables de routage, la configuration sécurisée de DNS, si la protection de
transmission supplémentaire est nécessaire sous la forme d'un réseau privé
virtuel (VPN), et s'ils souhaitent limiter le trafic entrant et sortant. Les clients qui
doivent effectuer la surveillance de leur réseau peuvent le faire à l'aide de
détection d'intrusion basée sur les hôtes et les systèmes de supervision.

Principal objectif d'audit : Les contrôles de sécurité manquant ou

configuré de façon inappropriée liés à l'accès externe/sécurité du réseau qui
peuvent occasionner une exposition de sécurité.

Approche d'audit : Comprendre l'architecture réseau de la ou des ressources

AWS, et comment les ressources sont configurées de façon à autoriser un accès
externe à partir de l'Internet public et des réseaux privés du client. Remarque :
AWS Trusted Advisor peut être exploité pour valider et vérifier les paramètres de
configuration AWS.

Configuration réseau etliste de contrôle de gestion

Liste de contrôle de l'objet

Contrôles du réseau. Identifiez la façon dont la segmentation du réseau est

appliquée au sein de l'environnement AWS.
• Vérifiez l'implémentation AWS Security Group, AWS Direct Connect et la
configuration d'Amazon VPN pour la mise en oeuvre correcte de la segmentation
du réseau et la liste de contrôle d'accès (ACL) et des paramètres du pare-feu ou
des services AWS .(Exemple API Call, 5 - 8)

• Vérifiez que vous avez une procédure pour accorder l'accès à distance, Internet ou

Page 14 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

VPN aux employés pour accéder à la Console AWS et l'accès à distance aux réseaux
et systèmes Amazon EC2.

• Vérifiez les éléments suivants pour maintenir un environnement de test et de

développement de logiciels et applications distinct de son environnement d'entreprise :
 L'isolation de VPC est en place entre l'environnement commercial et
utilisé pour les environnements de test et de développement.
 En passant en revue les connexions d'appairage de VPC entre des VPC
pour s'assurer du réseau l'isolation est en place entre les VPC
 L'isolation de sous-réseau est en place entre le contexte commercial et
les environnements de test et de développement.
 En examinant les NACLs associés aux sous-réseaux dans lesquels se
trouvent les environnements d'entreprise et de développement/test pour
garantir que l'isolation réseau est en place.
 L'isolation d'instances Amazon EC2 est en place entre l'environnement
commercial et les environnements de test et de développement.
 En passant en revue les groupes de sécurité associés à 1 ou plusieurs
instances , qui sont associées aux environnements d'entreprise, de
développement ou de test pour garantir que l'isolation réseau est en
placeentre les instances Amazon EC2
 Examiner une solution de défense multicouche DDoS en cours d'exécution qui
fonctionne directement sur AWS en examlinant les composants qui sont
exploités dans le cadre d'une solution DDoS, tels que :
 Configuration d'Amazon CloudFront
 Configuration d'Amazon S3
 Amazon Route 53
 Configuration ELB
 Remarque : Ces services n'utilisent pas d'adresses IP publiques
détenues par le client et offrent des fonctionnalités d'atténuation DoS
héritée DoS AWS.
 L'utilisation d'Amazon EC2 pour Proxy ou WAF
Des informations complémentaires sont disponibles dans le « Livre blanc
AWS Best Practices for DDoS Resiliency»

Contrôles de code malveillant. Évaluez l'implémentation et la gestion des

anti-programmes malveillants pour les instances Amazon EC2 de la même
manière qu'avec les systèmes physiques.

Page 15 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

3. Configuration et gestion des ressources

Définition : Les clients AWS sont responsables de maintenir la sécurité de tout
ce qui est installé sur des ressources AWS ou qui se connecte à des ressources
AWS. La gestion sécurisée des ressources AWS du client implique de savoir que
les ressources que vous utilisez (inventaire des actifs), de configurer de manière
sécurisée le système d'exploitation invité et les applications installées sur vos
ressources (sécuriser les paramètres de configuration, les correctifs et anti-
programmes malveillants) et le contrôle des modifications des ressources
(gestion des modifications).

Principal objectif d'audit : Gérez les vulnérabilités de sécurité de votre

système d'exploitation et d'application pour protéger la sécurité, la stabilité et
l'intégrité de l'actif.

Approche d'audit : Valider le système d'exploitation et vos applications sont

conçues, configurées, corrigées et renforcées conformément à vos politiques,
procédures et normes. Tous les systèmes d'exploitation et les pratiques de
gestion des applications peuvent être communs entre les systèmes sur site et les
systèmes et services AWS .

Liste de contrôle de configuration et de gestion des actifs

Liste de contrôle de l'objet

Évaluation de la gestion de la configuration. Vérifiez l'utilisation de vos pratiques

de gestion de la configuration pour tous les composants système AWS et assurez-vous
que ces normes répondent aux configurations de référence.

• Consultez la procédure pour effectuer une procédure de nettoyage

spécialisée avant de supprimer le volume conformément aux exigences
établies.

• Vérifiez votre système Identity Access Management (qui peut être utilisé pour
permettre un accès authentifié pour les applications hébergées sur des
services AWS).

• Confirmez que la réalisation de tests d'intrusion est terminée.

Page 16 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Contrôles de gestion des modifications. Veillez à ce que l'utilisation des services

AWS suive le même processus de contrôle des modifications que les séries internes.
• Vérifiez que les services AWS sont inclus dans le cadre d'un processus de
gestion des correctifs internes. Consultez le processus documenté pour la
configuration et l'application des correctifs d'instances Amazon EC2 :
 Amazon Machine Images (AMI) (Exemple API Call, 9 - 10)
 Systèmes d'exploitation
 Applications

• Consultez les appels d'API dans les services concernés pour supprimer les appels
afin de vous assurer que les ressources informatiques ont été correctement traitées.

4. Contrôle d'accès logiques

Définition : Les contrôles d'accès logiques déterminent non seulement celui ou
ce qui peut avoir accès à un système spécifique de ressources, mais aussi le type
d'actions pouvant être effectuées sur la ressource (lecture, écriture, etc.). Dans le
cadre du contrôle de l'accès aux ressources AWS, les utilisateurs et les processus
doivent présenter des informations d'identification pour confirmer qu'ils sont
autorisés à exécuter des fonctions spécifiques ou ont accès à des ressources
spécifiques. Les informations d'identification requises par AWS varient en
fonction du type de service et de la méthode d'accès, et incluent les mots de
passe, les clés de chiffrement et les certificats. L'accès aux ressources AWS peut
être activé par le biais du compte AWS, les comptes utilisateurs AWS Identify
and Access Management (IAM) individuels créés sous le compte AWS, ou la
fédération des identités avec le répertoire général du client (l'authentification
unique). AWS Identity and Access Management (IAM) permet aux
utilisateursde contrôler de façon sécurisée l'accès aux services et ressources
AWS. Avec IAM, vous pouvez créer et gérer des utilisateurs ainsi que des
groupes AWS, et configurer des permissions afin de leur permettre ou non
d'accéder aux ressources AWS.

Principal objectif d'audit : Cette partie de l'audit se concentre sur

l'identification de la façon dont les utilisateurs et les autorisations sont définies
pour les services AWS. Il est également important de s'assurer que vous gérez en
toute sécurité lles informations d'identification associées à tous les comptes AWS.

Page 17 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Approche d'audit : Les autorisations de validations pour les actifs AWS sont
gérés conformément aux stratégies organisationnelles, procédures et
processus. Remarque : AWS Trusted Advisor peut être exploité pour valider et
vérifier les utilisateurs IAM, des groupes et des configurations de rôle.

Liste de contrôle d'accès logique

Liste de contrôle de l'objet

Gestion d'accès, authentification et autorisation. Assurez-vous qu'il existe des

politiques internes et des procédures pour la gestion de l'accès aux services AWS et aux
instances Amazon EC2.
• Vérifiez la documentation d'utilisation et la configuration de contrôles d'accès
AWS, les exemples et options décrites ci-après :
 Description de la façon dont Amazon IAM est utilisé pour la gestion
de l'accès.
 Liste des contrôles qui est utilisée pour gérer Amazon IAM - Gestion de
ressources, groupes de sécurité, VPN, autorisations d'objet, etc.
 Utilisation de contrôles d'accès AWS natifs, ou si l'accès est géré via
l'authentification fédérée, qui exploite la norme ouverte Security
Assertion Markup Language (SAML) 2.0.
 Liste des comptes AWS des rôles, des groupes et des utilisateurs,
des stratégies et des attachements de stratégie aux utilisateurs,
groupes et rôles. (Exemple API Call, 11)
 Une description des comptes et des rôles Amazon IAM et les méthodes de
surveillance.
 Une description et la configuration de systèmes dans EC2.

Accès à distance. Assurez-vous qu'il y a un processus d'approbation, un processus de

consignation, ou des contrôles d'accès à distance non autorisée. Remarque : Tout accès à
AWS et aux instances Amazon EC2 est « l'accès à distance » par définition, sauf si Direct
Connect a été configurée.

• Examinez le processus pour empêcher tout accès non autorisé, dont les suivants :

 AWS CloudTrail pour la consignation des appels d'API au niveau du service.

 AWS CloudWatch enregistre pour répondre aux objectifs de journalisation.

 Stratégies IAM, stratégies de compartiment S3, groupes de sécurité

pour les contrôles afin d'empêcher tout accès non autorisé.

Page 18 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Liste de contrôle de l'objet

 Vérifiez la connectivité entre le réseau d'entreprise et AWS :

 Connexion VPN entre le VPC et le réseau d'entreprise.

 Direct Connect (connexion transversale et interfaces privés) entre

l'entreprise et AWS.
 Groupes de sécurité définis, listes de contrôle d'accès réseau et tables de
routage afin de contrôler l'accès entre AWS et le réseau.

Contrôle du personnel. Assurez-vous une restriction d'utilisateurs à ces services AWS

strictement pour leur activité métier. (Exemple API Call, 12)
• Vérifiez le type de contrôle d'accès en place en ce qui concerne les services AWS.
 Contrôle d'accès AWS à un niveau AWS - l'utilisation d'IAM avec le
marquage pour contrôler la gestion des instances Amazon EC2
(démarrer/arrêter/terminer) dans les réseaux
 Contrôle d'accès client - Solution LDAP (IAM) pour gérer l'accès aux
ressources qui existent dans les réseaux au niveau des couches Système
d'exploitation/Application
 Contrôle d'accès réseau - utilisation des groupes de sécurité AWS (SG,
security group), des listes de contrôle d'accès réseau (ACL réseau), tables
de routage, connexions VPN, appairage VPC pour contrôler l'accès
réseaux ressources dans les connexions VPC détenues par les clients.

5. Chiffrement des données

Définition : Les données stockées dans AWS sont sécurisées par défaut ; seuls
les propriétaires AWS ont accès aux ressources AWS qu'ils créent. Cependant,
les clients qui ont des données sensibles peuvent nécessiter une protection
supplémentaire en chiffrant les données lorsqu'elles sont stockées sur AWS.
Seul le service Amazon S3 fournit actuellement une fonction de chiffrement
automatisé côté serveur en plus de permettre aux clients de chiffrer côté client
avant que les données ne soient stockées. Pour les autres options de stockage de
données sur AWS, le client doit effectuer le chiffrement des données.

Principal objectif d'audit : Les données au repos doivent être chiffrées de la

même manière que les données protégées sur site. De plus, de nombreuses
stratégies de sécurité considèrent Internet comme un moyen de
communications non sécurisé et exigent le chiffrement des données en transit.
Une protection inadéquate des données peut créer une exposition de sécurité.

Page 19 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Approche d'audit : Comprendre où résident les données, et valider les

méthodes utilisées pour protéger les données au repos et en transit (également
appelés « données de vol »). Remarque : AWS Trusted Advisor peut être exploité
pour valider et vérifier les autorisations et l'accès aux données.

Liste de chiffrement des données

Liste de contrôle de l'objet

Contrôles de chiffrement. Assurez-vous que les contrôles appropriés sont en place

pour protéger les informations confidentielles lors du transport tout en utilisant les
services AWS.
 Vérification des méthodes pour la connexion à la Console AWS , à l'API de
gestion, à S3, à RDS et à VPN Amazon EC2 pour l'application du chiffrement.
 Examinez les politiques internes et les procédures de gestion des clés, y
compris les services AWS et les instances Amazon EC2.
Consultez les méthodes de chiffrement utilisés, le cas échéant, pour protéger
les codes PIN au repos - AWS propose un certain nombre de services de
gestion tels que les clés KMS, CloudHSM et Server Side Encryption pour S3
qui peut être utilisé pour faciliter le chiffrement des données au repos.
(Exemple appel API , 13-15)

6. Journalisation et surveillance de la sécurité

Définition : Les journaux d'audit enregistren une variété d'événements au
sein de vos systèmes d'information et de réseaux. Les journaux d'audit sont
utilisés pour identifier les activités qui peuvent avoir un impact sur la sécurité
de ces systèmes, que ce soit en temps réel ou après coup. Par conséquent, la
configuration correcte et la protection des journaux sont importantes.

Principal objectif d'audit : Les systèmes doivent être consignés et surveillés,

comme ils le sont pour les systèmes sur site. Si les systèmes AWS ne sont pas
inclus dans le programme de sécurité globale de l'entreprise, les systèmes
essentiels peuvent être exclus du champ d'application des efforts de surveillance.

Approche d'audit : Vérifiez que la journalisation d'audit est effectuée sur le

système d'exploitation invité et les applications essentielles installées sur les
instances Amazon EC2 et que la mise en œuvre est conforme à vos politiques et
procédures, en particulier en ce qui concerne le stockage, la protection et
l'analyse des journaux.

Page 20 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Enregistrement de sécurité et liste de contrôle :

Liste de contrôle de l'objet

Pistes d'évaluation de consignation et surveillance. Examinez les

stratégies et procédures de journalisation et surveillance pour l'adéquation, la
fidélisation, les seuils définis et la maintenance sécurisée, spécifiquement pour
détecter l'activité non autorisée pour les services AWS.
• Examinez les stratégies et procédures de journalisation et surveillance et
assurez-vous que les services AWS sont inclus, y compris les instances Amazon
EC2 pour les événements liés à la sécurité.
• Vérifiez que des mécanismes de consignation sont configurés de façon à
envoyer les journaux à un serveur centralisé, et s'assurer que pour les instances
Amazon EC2 les types et les formats corrects des journaux sont conservés de la
même manière qu'avec les systèmes physiques.
• Pour les clients qui utilisent AWS CloudWatch, passez en revue le processus et
l'enregistrement de l'utilisation de la surveillance du réseau.
• Assurez-vous que les analyses d'événements sont utilisées pour améliorer
les mesures défensives et les stratégies.
• Examinez le Rapport sur les informations d'identification AWS IAM pour
les utilisateurs non autorisés, AWS Config et le balisage des ressources pour
les périphériques non autorisés. (Exemple appel API , 16)
• Confirmer le regroupement et la corrélation des données d'événement à partir
de plusieurs sources en utilisant les services AWS, tels que :
 Les journaux de flux VPC pour identifier les paquets de réseau
acceptés/rejetés entrant dans le VPC.
 AWS CloudTrail pour identifier les appels d'API authentifiés et
non authentifiés vers les services AWS
 ELB Logging - Equilibreur de journalisation.
 AWS CloudFront Logging - Journalisation des distributions CDN.

Détection des intrusions et réponse. Vérification basée sur les hôtes IDS sur
les instances Amazon EC2 de la même manière qu'avec les systèmes physiques.
• Vérification des preuves fournie par AWS sur l'endroit où les informations
sur les processus de détection des intrusions peuvent être analysées.

7. Réponse aux incidents de sécurité

Définition : Sous un modèle de responsabilité partagée, les événements de
sécurité peuvent être surveillés par l'interaction d'AWS et du client AWS. AWS
détecte et répond aux événements impactant l'hyperviseur et l'infrastructure
sous-jacente. Les clients gère les événements sur le système d'exploitation
invité en place jusqu'à l'application. Vous devez bien comprendre les

Page 21 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

responsabilités en matière de réponse aux incidents et adapter les outils et les

processus de surveillance / alerte / audit de sécurité existants pour leurs
ressources AWS.

Principal objectif d'audit : Les événements de sécurité doivent être surveillés

quel que soit l'emplacement des actifs. L'auditeur peut évaluer la cohérence du
déploiement des contrôles de gestion des incidents pour tous les
environnements, et valider une couverture complète par le biais de tests.

Approche d'audit : Évaluer l’existence et l'efficacité opérationnelle des

contrôles de gestion des incidents pour les systèmes dans l'environnement AWS.

Liste des réactions face aux incidents de sécurité :

Liste de contrôle de l'objet
Signalement des incidents. Assurez-vous que le programme et la stratégie
d'intervention pour les incidents de cybersécurité incluent les services AWS et abordent
des contrôles qui atténuent les incidents de cybersécurité et facilitent la récupération.
• Vérifiez l'exploitation des outils de surveillance des incidents existants, ainsi que les
outils AWS disponibles pour surveiller l'utilisation des services AWS.
• Vérifiez que le plan de gestion des incidents subit une évaluation périodique et que
les modifications liées à AWS sont effectuées en fonction des besoins.
• Notez si le plan de gestion des incidents comporte des procédures de notification
et la façon dont le client aborde la responsabilité des pertes associées aux attaques
ou ayant un impact sur les instructions.

8. Récupération après sinistre

Définition : AWS fournit une infrastructure hautement disponible qui
permet aux clients de concevoir des applications résilientes et de répondre
rapidement aux principaux incidents ou des scénarii catastrophes. Cependant,
les clients doivent prendre les mesures nécessaires pour configurer les
systèmes qui nécessitent une haute disponibilité ou un temps de récupération
rapide afin de tirer parti des différentes régions et zones de disponibilité
offertes par AWS.

Principal objectif d'audit : Un seul point de défaillance non identifié et/ou

une planification inadéquate pour traiter les scénarios de reprise après sinistre

Page 22 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

pourrait avoir une incidence significative. Bien qu'AWS fournisse des accords de
niveau de service (SLA) au niveau de l'instance/ service individuel, ceux-ci ne
doivent pas être confondus avec les objectifs des clients en matière de continuité
de l'activité (BC, business continuity) et de reprise après sinistre (DR, disaster
recovery), tels que l'objectif de temps de reprise (RTO, Recovery Time
Objective), l'objectif de point de reprise (RPO, Recovery Point Objective). Les
paramètres BC/DR sont associés à la conception de solution . Une conception
plus résiliente utilise souvent plusieurs composants dans différentes zones de
disponibilité AWS, et implique la réplication des données.

Approche d'audit : Comprendre la reprise après sinistre et déterminer

l'architecture résistant aux défaillances employées pour les ressources
critiques. Remarque : AWS Trusted Advisor peut être exploité pour valider
et vérifier certains aspects des capacités de résilience du client.

Liste de contrôle de reprise après sinistre :

Liste de contrôle de l'objet

Planification de la continuité de l'activité (BCP). Assurez-vous qu'il y a un

BCP complet, pour les services AWS utilisés, qui aborde l'atténuation des effets d'un
incident de cybersécurité et/ou récupère de ce type d'incident.
• Dans le plan, vérifiez qu'AWS est inclus dans les situations de préparation aux
situations d'urgence et de gestion de crise, les responsabilités de surveillance du
directeur principal et le plan d'essai.

Contrôles de sauvegarde et de stockage. Vérifiez le test périodique du client de son

système de sauvegarde pour les services AWS. (Exemple appel API , 17-18)
1. Vérifiez l'inventaire des données sauvegardées dans les services AWS en
tant que sauvegarde hors site.

9. Contrôles hérités
Définition : Amazon a plusieurs années d'expérience dans la conception,
l'élaboration et le fonctionnement de centres de données à grande échelle. Cette
expérience a été mise à profit pour l'élaboration de la plateforme et de
l'infrastructure d'AWS. Les centres de données AWS sont hébergés au sein
d'installations sans signe distinctif. L'accès physique est strictement contrôlé à
la fois au périmètre et aux points d'accès du bâtiment par des professionnels de

Page 23 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

la sécurité utilisant la vidéosurveillance, des systèmes de détection d'intrusion

et d'autres moyens électroniques. Le personnel autorisé doit passer avec succès
l'authentification à deux facteurs au moins deux fois pour pouvoir accéder aux
étages des data centers. Tous les visiteurs et sous-traitants sont tenus de
présenter une pièce d'identité et sont enregistrés à leur arrivée, puis escortés en
permanence par le personnel habilité.

AWS n'autorise l'accès aux centres de données et la diffusion d'informations à ce

sujet qu'au personnel et aux sous-traitants en ayant légitimement besoin dans le
cadre de leurs activités professionnelles. Lorsqu'un employé n'a plus besoin de
tels privilèges pour remplir ses fonctions, son accès est immédiatement révoqué,
même s'il continue à être un employé d'Amazon ou d'Amazon Web Services. Tous
les accès physiques aux centres de données par le personnel d'AWS sont
consignés et régulièrement audités.

Principal objectif d'audit : L'objectif de cette section d'audit est de démontrer

les précautions nécessaires lorrs de la sélection de fournisseurs de services.

Approche d'audit : Comprendre la façon dont vous pouvez demander et évaluer

les attestations et certifications émanant d'organismes tiers afin de s'assurer, dans
une mesure raisonnable, de l'efficacité de conception et de fonctionnement des
objectifs de contrôle et des contrôles.

Liste de vérification des contrôles hérités

Liste de contrôle de l'objet

Sécurité physique et contrôles environnementaux. Vérifiez les données fournies

par AWS pour obtenir plus de détails sur les endroits où les informations sur les
processus de détection d'intrusion, qui sont gérées par AWS pour les contrôles de
sécurité physique, peuvent être vérifiées .

Conclusion
Il existe de nombreux outils tiers qui peuvent vous aider à votre évaluation.
Étant donné que les clients d'AWS gardent le contrôle complet de leurs systèmes

Page 24 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

d'exploitation, vos paramètres réseau et de routage du trafic, une majorité des

outils utilisés en interne peuvent être utilisées pour évaluer et contrôler les actifs
dans AWS.

Un outil utile fournie par AWS est l'outil AWS Trusted Advisor. AWS Trusted
Advisor repose sur les bonnes pratiques apprises à travers la longue expérience
d'AWS qui a déjà satisfait des centaines de milliers de clients. Le programme
AWS Trusted Advisor effectue plusieurs vérifications fondamentales de votre
environnement AWS et émet des recommandations dès lors qu'il existe une
possibilité de réaliser des économies, d'améliorer les performances du système
ou de remédier à certaines failles de sécurité.

Cet outil peut être utilisée pour effectuer certains des éléments de liste de
contrôle d'audit pour améliorer et prendre en charge votre processus
d'évaluation et d'audit de vos organisations.

Page 25 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Annexe A : Références et suggestions

de lecture
1. Amazon Web Services : Présentation des procédures de sécurité d'Amazon Web
Services -
https://d0.awsstatic.com/whitepapers/Security/AWS%20Security%20Whitepape
r.pdf
2. Livre blanc sur les risques et la conformité d'AWS -
https://d0.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance
_ Whitepaper.pdf
3. Manuel de cybersécurité AWS OCIE -
https://d0.awsstatic.com/whitepapers/compliance/AWS_SEC_Workbook.pdf
4. Utilisation d'Amazon Web Services pour la récupération après sinistre :
http://media.amazonwebservices.com/AWS_Disaster_Recovery.pdf
5. Exemple d'application de la fédération d'identités pour un cas d'utilisation
d'Active Directory - http://aws.amazon.com/code/1288653099190193
6. Authentification unique avec Windows ADFS vers les applications Amazon EC2 .NET
- http://aws.amazon.com/articles/3698?_encoding=UTF8&queryArg=searchQuery
&x=20&y=25&fromSearch=1&searchPath=all&searchQuery=identity%20federati on
7. Authentification des utilisateurs des applications mobiles AWS avec un
distributeur automatique de segments
http://aws.amazon.com/articles/4611615499399490?_encoding=UTF8&queryAr
g=searchQuery&fromSearch=1&searchQuery=Token%20Vending%20machine
8. Chiffrement de données côté client avec le kit AWS SDK pour Java et Amazon S3
- http://aws.amazon.com/articles/2850096021478074
9. Interface de ligne de commandeAWS -
http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html
10. Politique d'utilisation acceptable d'Amazon Web Services -
http://aws.amazon.com/aup/

Page 26 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Annexe B : Glossaire
Authentification : l'authentification est le processus consistant à déterminer si
quelqu'un ou quelque chose est bien celui ou ce qu'il prétend être.

Zone de disponibilité: Les emplacements Amazon EC2 sont composés de régions

et de zones de disponibilité. Les zones de disponibilité sont des emplacements
distincts qui sont conçus pour être isolés des défaillances survenant dans les autres
zones de disponibilité et fournir une connectivité réseau de faible latence et peu
coûteuse aux autres zones de disponibilité de la même région.

EC2 : Amazon Elastic Compute Cloud (Amazon EC2) est un service web qui offre
une capacité de calcul redimensionnable dans le cloud. Il est conçu pour faciliter
le cloud computing à l'échelle d'Internet pour les développeurs.

Hyperviseur : un hyperviseur, également appelé Virtual Machine Monitor

(VMM), est un logiciel de virtualisation de plateforme logicielle/matérielle
permettant l'exécution simultanée de plusieurs systèmes d'exploitation sur un
même ordinateur hôte.

IAM : AWS Identity and Access Management (IAM) permet à un client de créer
plusieurs utilisateurs et de gérer les autorisations de chacun d'entre eux au sein
du compte AWS associé.

Objet : Les entités fondamentales stockées dans Amazon S3. Les objets sont
composés de données et de métadonnées d'objet. La partie données est opaque
pour Amazon S3. Les métadonnées sont un ensemble de paires nom-valeur qui
décrivent l'objet. Elles comprennent certaines métadonnées par défaut telles que
la date de la dernière modification et des métadonnées HTTP standard comme le
type de contenu. Le développeur peut aussi spécifier des métadonnées
personnalisées au moment du stockage de l'objet.

Service : Fonctionnalité logicielle ou informatique fournie sur un réseau (EC2,

S3, VPC, etc.).

Page 27 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

Annexe C : Appels d’API

L'interface de ligne de commande AWS est un outil unifié qui vous permet de
gérer les services AWS. http://docs.aws.amazon.com/cli/latest/reference/index.html#cli-aws

1. Répertoriez toutes les ressources avec des balises

- aws ec2 describe-tags
http://docs.aws.amazon.com/cli/latest/reference/ec2/describe-tags.html
2. Affichage de toutes les passerelles client sur les clients de compte AWS :
- aws ec2 describe-customer-gateways -tableau de production
3. Répertorier toutes les connexions VPN sur les clients par compte AWS
- aws ec2 describe-vpn-connections
4. Affichage de toutes les connexions Customer Direct Connect
- aws directconnect describe-connections
- aws directconnect describe-interconnects
- aws directconnect describe-connections-on-interconnect
- aws directconnect describe-virtual-interfaces
5. Affichage de toutes les passerelles client sur les clients de compte AWS :
- aws ec2 describe-customer-gateways - tableau de production
6. Répertorier toutes les connexions VPN sur les clients par compte AWS
- aws ec2 describe-vpn-connections
7. Affichage de toutes les connexions Customer Direct Connect
- aws directconnect describe-connections
- aws directconnect describe-interconnects
- aws directconnect describe-connections-on-interconnect
- aws directconnect describe-virtual-interfaces
8. Vous pouvez également utiliser le groupe de sécurité axée l'interface de ligne de
commande :
- aws ec2 describe-security-groups
9. Liste des AMI actuellement détenues/enregistrées par le client
- aws ec2 describe-images - propriétaires indépendants

Page 28 sur 29
Amazon Web Services - Présentation d'audit de l'utilisation d'AWS Octobre 2015

10. Répertorier toutes les instances lancées à l'aide d'un AMI spécifique
- aws ec2-describe-instances --filters “Name=image-id,Values=XXXXX” (où XXXX
= valeur par l'id d'image par exemple ami-12345a12
11. Liste de rôles /Groupes/utilisateurs IAM
- aws iam list-roles
- aws iam list-groups
- aws iam list-users
12. Liste de stratégies affectées à Groupes/rôles/utilisateurs :
- aws iam list-attached-role-policies --role-name XXXX
- aws iam list-attached-group-policies --group-name XXXX
- aws iam list-attached-user-policies --user-name XXXX où XXXX est un nom de
ressource dans les clients AWS Account
13. Liste de clés KMS
- aws kms list-aliases
14. Liste de stratégie de la rotation des clés
- aws kms get-key-rotation-status –key-id XXX (où XXX = > par l'id de compte AWS
15. Liste des volumes EBS chiffrés avec KMS Keys
- aws ec2 describe-volumes "Name=encrypted,Values=true"
- ciblée par exemple us-east-1)
16. Rapport sur les informations d'identification
- aws iam generate-credential-report
- aws iam get-credential-report
17. Créer un instantané/Sauvegarde de volume EBS
- aws ec2 create-snapshot --volume-id XXXXXXX
- (où XXXXXX = ID de volume au sein du compte AWS)
18. Confirmez instantané/sauvegarde terminée
- aws ec2 describe-snapshots --filters “Name=volume-id,Values=XXXXXX)

Page 29 sur 29