Unité 3.2 : Gestion des identités et des accès
Introduction
Pensez à la gestion de l'accès aux ressources cloud comme à la gestion d'un immeuble de bureaux animé. Vous avez besoin que certaines personnes aient des clés maîtresses (administrateurs), que d'autres n'aient accès qu'à certains étages (équipes de département), et que les visiteurs aient des badges temporaires pour des zones limitées. Sans un système pour contrôler qui entre dans quelle salle, la sécurité se dégrade. L'Identity and Access Management (IAM) offre exactement ce type de contrôle pour votre environnement cloud.
Dans cette unité, vous apprendrez comment IONOS Cloud met en œuvre IAM à travers le contrôle d'accès basé sur les rôles (RBAC), la gestion des utilisateurs et des groupes, les jetons d'authentification API, et la fédération d'identités. Que vous sécurisiez les ressources d'une petite équipe ou que vous gériez l'accès à travers plusieurs organisations, la compréhension de IAM est essentielle pour maintenir la sécurité, la conformité et l'efficacité opérationnelle.
1. Modèle de contrôle d'accès basé sur les rôles (RBAC) d'IONOS
IONOS Cloud utilise un modèle de contrôle d'accès basé sur les rôles (RBAC) pour gérer qui peut effectuer quels actions au sein d'un contrat cloud. L'accès est accordé via des rôles, des privilèges et des groupes, vous permettant de mettre en œuvre le principe du minimum de privilèges sur l'ensemble de votre plateforme.
1.1 Les trois rôles principaux
IONOS Cloud définit trois rôles principaux, chacun avec des niveaux d'accès différents :
| Rôle | Niveau d'accès | Capacités clés | Restrictions |
|---|---|---|---|
| Propriétaire du compte | Accès complet (non restreint) | - Détient tous les privilèges et les autorisations (ne peut pas être révoqué)<br>- Reçoit toutes les communications légales et les factures<br>- Peut ajouter ou supprimer tout autre utilisateur<br>- Peut modifier les méthodes de paiement | - Ne peut pas être supprimé du contrat<br>- Ce rôle est automatiquement attribué à l'utilisateur qui crée le contrat |
| Administrateur | Accès complet (presque non restreint) | - Mêmes droits que le propriétaire pour la gestion des ressources<br>- Peut ajouter ou supprimer des utilisateurs (sauf le propriétaire)<br>- Peut gérer toutes les ressources cloud (VDC, serveurs, stockage, etc.) | - Ne peut pas modifier les méthodes de paiement<br>- Ne peut pas supprimer le propriétaire |
| Utilisateur | Accès limité (accordé explicitement) | - Peut effectuer uniquement les actions explicitement attribuées via des privilèges<br>- Peut accéder uniquement aux ressources partagées avec leurs groupes<br>- Idéal pour appliquer le principe du minimum de privilèges | - Aucune autorisation par défaut<br>- Doit recevoir des privilèges explicites pour chaque action |
Le rôle de propriétaire est créé automatiquement lorsque vous vous inscrivez pour la première fois à IONOS Cloud et ne peut pas être transféré ou supprimé. Cela garantit qu'il y a toujours un titulaire de compte responsable des factures et des questions légales.
1.2 Fonctionnement des privilèges
Les privilèges sont des autorisations au niveau de l'action qui définissent ce qu'un utilisateur ou un groupe peut faire. Des exemples incluent « créer un centre de données virtuel », « lire les sauvegardes », « gérer Network File Storage » ou « partager des instantanés ». Au lieu de donner à quelqu'un un accès administratif étendu, vous attribuez uniquement les privilèges spécifiques dont il a besoin pour effectuer son travail.
Les privilèges peuvent être attribués de deux manières :
- Directement à des utilisateurs individuels - Utile pour des exigences d'accès ponctuelles ou uniques
- À des groupes - Recommandé pour une gestion scalable d'équipes avec des responsabilités partagées
Par exemple, un administrateur de base de données peut recevoir des privilèges pour « Accéder et gérer Database as a Service » et « Créer des instantanés », tandis qu'un spécialiste de la surveillance reçoit uniquement « Accéder et gérer les ressources de surveillance » sans la capacité de modifier l'infrastructure.
1.3 Le principe du minimum de privilèges (PoLP)
Le principe du minimum de privilèges signifie accorder aux utilisateurs uniquement les autorisations minimales requises pour effectuer leurs tâches. Cette meilleure pratique de sécurité réduit la surface d'attaque en limitant ce qu'un compte compromis peut accéder ou endommager.
IONOS permet la mise en œuvre de PoLP via :
- Profils de groupe personnalisés - Ensembles pré définis de privilèges granulaires adaptés à des fonctions de travail spécifiques
- Autorisations au niveau des ressources - Accorder l'accès à des VDC, des images, des instantanés ou des blocs IP spécifiques plutôt qu'à toutes les ressources
- Réexamens réguliers d'accès - Auditer périodiquement les comptes d'utilisateurs et révoquer les privilèges inutiles
- Authentification à plusieurs facteurs (MFA) - Exiger un deuxième facteur d'authentification pour les comptes privilégiés
Lors de la mise en œuvre de PoLP, commencez par mapper chaque fonction de travail à l'ensemble minimal d'actions requises. Utilisez le rôle Utilisateur avec des privilèges explicites au lieu du rôle Administrateur chaque fois que possible, et effectuez des réexamens trimestriels pour identifier et supprimer les droits d'accès obsolètes.
2. Gestion des utilisateurs et des groupes
La gestion de l'accès pour des dizaines ou des centaines d'utilisateurs individuellement serait fastidieuse et sujette aux erreurs. IONOS Cloud propose la fonctionnalité Utilisateurs et groupes pour rationaliser la gestion des autorisations à grande échelle.
2.1 Qu'est-ce qu'un utilisateur ?
Un utilisateur est une identité individuelle qui peut se connecter à la console IONOS Cloud Data Center Designer (DCD). Chaque utilisateur est identifié par une adresse e-mail unique et peut se voir attribuer des privilèges spécifiques qui définissent les actions qu'il peut effectuer.
Lorsque vous créez un utilisateur, vous fournissez :
- Prénom et nom
- Adresse e-mail unique (ceci devient l'identifiant de connexion)
- Mot de passe initial (l'utilisateur doit le changer au premier connexion)
Indépendamment du fait qu'un utilisateur soit créé via l'interface DCD ou via API, il commence avec des autorisations minimales par défaut et ne peut voir aucune ressource à moins que ces ressources ne soient explicitement partagées avec un groupe auquel il appartient.
Seul le propriétaire du contrat et les administrateurs peuvent créer et gérer des utilisateurs.
2.2 Qu'est-ce qu'un groupe ?
Un groupe est une collection logique d'utilisateurs qui vous permet d'appliquer des autorisations collectivement plutôt qu'individuellement. Les groupes simplifient la gestion des RBAC pour les grandes équipes ou les équipes dynamiques en vous permettant de définir des privilèges une seule fois et de faire hériter automatiquement ces droits à tous les membres du groupe.
Par exemple, vous pourriez créer des groupes tels que :
- Utilisateurs Network File Storage - Les membres peuvent accéder et gérer les ressources NFS
- Opérateurs de base de données - Les membres peuvent gérer les bases de données PostgreSQL, MariaDB et MongoDB
- Visionneurs Monitoring Service - Les membres ont un accès en lecture seule aux tableaux de bord de surveillance
Lorsque vous ajoutez un utilisateur à un groupe, il hérite immédiatement de tous les privilèges attribués à ce groupe. Lorsque vous le supprimez du groupe, il perd ces privilèges tout aussi rapidement.
2.3 Création et gestion des groupes
Pour créer un groupe dans IONOS Cloud :
- Accédez à Menu → Gestion → Utilisateurs et groupes
- Basculer vers l'onglet Groupes
- Cliquez sur Créer et fournissez un nom de groupe descriptif
- Ajoutez des utilisateurs au groupe via l'onglet Membres
- Attribuez des privilèges via l'onglet Privileges (les modifications s'appliquent immédiatement)
- Facultativement, accordez au groupe l'accès à des ressources spécifiques via Accorder l'accès
Les groupes sont particulièrement utiles lorsque la composition de l'équipe change fréquemment. Au lieu de modifier les autorisations pour chaque utilisateur individuel, vous ajoutez ou supprimez simplement des utilisateurs du groupe approprié. Cette approche est recommandée pour toute autorisation qui sera partagée par deux utilisateurs ou plus.
2.4 Contrôle d'accès au niveau des ressources
IONOS Cloud vous permet de contrôler l'accès au niveau des ressources, ce qui signifie que vous pouvez spécifier quels groupes peuvent afficher, modifier ou partager des ressources spécifiques telles que les VDC, les images, les instantanés et les blocs IP.
Les ressources peuvent avoir trois niveaux d'autorisation :
- Afficher - Les membres du groupe peuvent voir la ressource mais ne peuvent pas la modifier
- Modifier - Les membres du groupe peuvent modifier la configuration de la ressource
- Partager - Les membres du groupe peuvent partager la ressource avec d'autres groupes, en leur accordant des droits d'affichage
Lorsque vous créez une ressource en tant que propriétaire du contrat, elle est masquée aux autres utilisateurs par défaut. Pour la rendre visible, vous devez la partager avec au moins un groupe. Cela garantit que les ressources sensibles (telles que les images de production ou les instantanés de sauvegarde) restent confidentielles à moins d'être explicitement partagées.
2.5 Quand utiliser des groupes par rapport aux autorisations individuelles
| Situation | Approche recommandée | Pourquoi |
|---|---|---|
| Rôles standard partagés par plusieurs personnes (par exemple, développeurs, opérateurs) | Créez un groupe et attribuez des privilèges au groupe | Évolutivité, cohérence, facile à auditer |
| Composition d'équipe changeante (personnes qui rejoignent ou quittent fréquemment) | Utilisez des groupes - ajoutez ou supprimez des membres sans modifier les autorisations | Réduit les frais administratifs |
| Accès unique ou très spécifique (par exemple, accès temporaire en lecture à une seule ressource) | Attribuez des autorisations directement à l'utilisateur individuel | Évite de créer des groupes inutiles pour des cas uniques |
| Administrateurs et propriétaires de contrats | Aucun groupe nécessaire - ils ont automatiquement un accès complet | Les administrateurs héritent de toutes les autorisations par défaut |
| Partage de ressources fine (par exemple, VDC spécifique ou Snapshot) | Attribuez la ressource à un groupe via Accorder l'accès | Seuls les membres du groupe peuvent afficher ou gérer la ressource |
En général, utilisez des groupes pour toute autorisation partagée par deux utilisateurs ou plus, et utilisez des autorisations individuelles uniquement pour les exigences uniques, temporaires ou ponctuelles.
3. Token Manager pour l'authentification API
De nombreuses opérations IONOS Cloud peuvent être effectuées de manière programmatique en utilisant l'API IONOS Cloud API. Pour authentifier les requêtes API de manière sécurisée sans envoyer votre mot de passe, IONOS fournit Token Manager.
3.1 Qu'est-ce que Token Manager ?
Token Manager est un service qui génère des jetons Bearer (jetons Web JSON ou JWT) représentant votre session utilisateur. Ces jetons peuvent être utilisés à la place de votre nom d'utilisateur et de votre mot de passe lors de l'appel à l'API API.
Un jeton est une credenciale à durée de vie limitée que vous incluez dans l'en-tête d'autorisation de chaque requête API. Au lieu de vous authentifier avec votre mot de passe à chaque fois, vous vous authentifiez une fois en générant un jeton, puis utilisez ce jeton pour toutes les requêtes API ultérieures jusqu'à son expiration.
3.2 Pourquoi utiliser Token Manager ?
Token Manager offre plusieurs avantages par rapport à l'authentification basée sur le mot de passe :
- Requis pour les comptes 2FA - Si votre compte a l'authentification à deux facteurs (2FA) activée, vous ne pouvez pas utiliser l'authentification basée uniquement sur le mot de passe pour les appels à l'API API. Token Manager offre la seule façon d'authentifier les requêtes API dans ce scénario.
- Sécurité améliorée - Les jetons sont limités dans le temps et peuvent être révoqués immédiatement s'ils sont compromis, alors que le changement d'un mot de passe affecte toutes vos méthodes d'accès.
- Séparation des préoccupations - Vous pouvez créer plusieurs jetons pour différentes applications ou scripts d'automatisation, et révoquer des jetons individuels sans affecter les autres.
- Piste d'audit - L'utilisation des jetons peut être suivie séparément des connexions interactives à la console.
3.3 Fonctionnement de Token Manager
Pour utiliser Token Manager :
- Dans le Data Center Designer, naviguez jusqu'à Menu → Gestion → Token Manager
- Cliquez sur Générer un jeton
- Sélectionnez une durée de vie (TTL) pour le jeton (les options vont de 1 heure à 365 jours)
- Cliquez sur Créer - la valeur du jeton est affichée une seule fois et ne peut pas être récupérée à nouveau
- Copiez la valeur du jeton et stockez-la de manière sécurisée
Une fois que vous avez un jeton, incluez-le dans l'en-tête d'autorisation de vos requêtes API :
Authorization: Bearer <your-token-value>
Chaque utilisateur peut avoir jusqu'à 100 jetons actifs. Vous pouvez supprimer un jeton à tout moment via l'interface Token Manager, ce qui l'invalidate immédiatement, même si le TTL n'a pas expiré.
3.4 Attributs de jeton
Chaque jeton possède les attributs suivants :
- ID de jeton - Utilisé pour référencer le jeton dans le API (par exemple, lors de sa suppression)
- Date de création - Lorsque le jeton a été généré
- Date d'expiration - Lorsque le jeton expirera automatiquement (en fonction du TTL sélectionné)
- TTL (Durée de vie) - La durée de vie du jeton (sélectionnable de 1 heure à 365 jours)
- Valeur de jeton - La chaîne secrète réelle utilisée pour l'authentification (affichée uniquement une fois lors de la création)
Pour des raisons de sécurité, il est recommandé d'utiliser des TTL plus courts (tels que 1 jour ou 1 semaine) pour les jetons utilisés dans les environnements de production, et de faire pivoter les jetons régulièrement.
4. IAM Federation et authentification unique (SSO)
Pour les organisations qui utilisent déjà un fournisseur d'identité d'entreprise (IdP) tel qu'Azure Active Directory, Okta ou OneLogin, IONOS Cloud prend en charge IAM Federation. Cette fonctionnalité permet aux utilisateurs de s'authentifier à l'aide de leurs informations d'identification d'entreprise au lieu de maintenir des mots de passe IONOS séparés.
4.1 Qu'est-ce que IAM Federation ?
IAM Federation est un service qui permet aux utilisateurs de s'authentifier sur IONOS Cloud à l'aide d'informations d'identification provenant d'un fournisseur d'identité externe. Il prend en charge deux protocoles standard de l'industrie :
- SAML 2.0 - Un protocole basé sur XML largement utilisé pour l'authentification unique basée sur le web
- OpenID Connect (OIDC) - Un protocole moderne basé sur JSON construit sur OAuth 2.0
Lorsque IAM Federation est activé, les utilisateurs peuvent se connecter au panneau de contrôle IONOS Data Center Designer en cliquant sur "Se connecter avec un compte lié" et en étant redirigés vers le fournisseur d'identité de leur organisation. Après une authentification réussie avec le fournisseur d'identité, ils sont automatiquement connectés à IONOS Cloud sans avoir à saisir de mot de passe IONOS spécifique.
4.2 Avantages de IAM Federation
IAM Federation offre plusieurs avantages :
| Avantage | Description |
|---|---|
| Authentification unique (SSO) | Les utilisateurs se connectent une seule fois et accèdent à plusieurs services IONOS (DCD, panneau de contrôle, portail de revendeur) sans connexions répétées |
| Sécurité améliorée | L'authentification est effectuée par le fournisseur d'identité de confiance de votre organisation, souvent avec une authentification à plusieurs facteurs et des stratégies d'accès conditionnel déjà en place |
| Risque de phishing réduit | Les mots de passe des utilisateurs ne sont jamais stockés dans IONOS Cloud, éliminant ainsi un vecteur d'attaque pour le vol de mots de passe |
| Authentification centralisée | La connexion est gérée par le fournisseur d'identité de confiance de votre organisation, de sorte que les utilisateurs s'authentifient via un système central unique plutôt que via une connexion IONOS séparée |
| Contrôle des informations d'identification centralisé | La désactivation du compte d'un utilisateur dans votre fournisseur d'identité bloque immédiatement la connexion fédérée à IONOS Cloud. Le compte IONOS Cloud et les privilèges qui lui sont attribués restent et sont toujours gérés dans IONOS |
| Expérience utilisateur améliorée | Connexion transparente avec des informations d'identification d'entreprise familières, pas besoin de mémoriser plusieurs mots de passe |
| Moins de mots de passe séparés | Les utilisateurs se connectent avec leurs informations d'identification d'entreprise existantes, ils n'ont donc pas besoin de créer ou de mémoriser un mot de passe IONOS Cloud séparé |
4.3 Fonctionnement de IAM Federation
La configuration de IAM Federation implique les étapes suivantes :
- Vérification de la propriété du domaine - Vous prouvez la propriété du domaine de votre organisation (comme votreentreprise.com) en créant un enregistrement TXT dans votre DNS
- Intégration du fournisseur d'identité - Vous fournissez à IONOS les informations de point de découverte de votre fournisseur d'identité (comme l'URL de métadonnées SAML ou les points de terminaison de configuration OIDC)
- Liaison du compte utilisateur - Chaque utilisateur lie son compte IONOS Cloud existant à son identité d'entreprise via le menu IAM Federation dans le DCD
- Connexion SSO - Les utilisateurs peuvent maintenant se connecter à IONOS Cloud en saisissant leur adresse e-mail d'entreprise et en sélectionnant "Se connecter avec un compte lié"
Après le lien, l'utilisateur est redirigé vers la page de connexion du fournisseur d'identité de l'organisation, s'authentifie (souvent avec MFA), puis est renvoyé au panneau de contrôle IONOS Data Center Designer entièrement authentifié.
4.4 Privilèges IAM et fédération
Il est important de comprendre que IAM Federation ne gère que l'authentification (vérification de l'identité de l'utilisateur), et non l'autorisation (détermination de ce que l'utilisateur peut faire). Les privilèges IONOS RBAC attribués à un utilisateur restent inchangés lorsqu'il se lie à un fournisseur d'identité externe.
Par exemple, si un utilisateur a le privilège "Accéder et gérer Database as a Service" avant de se lier à la fédération, il conservera ce même privilège après le lien. La fédération fournit une méthode de connexion alternative, mais ne modifie pas les autorisations sous-jacentes.
5. Mise en œuvre des meilleures pratiques de IAM
Une mise en œuvre efficace de IAM va au-delà de la compréhension des fonctionnalités techniques. Elle nécessite de suivre les meilleures pratiques de sécurité pour protéger votre environnement cloud.
5.1 Liste de contrôle des meilleures pratiques de sécurité
Lors de la mise en œuvre de IAM dans IONOS Cloud, suivez ces directives :
-
Appliquer le principe du moindre privilège (PoLP) - Accordez aux utilisateurs uniquement les autorisations minimales requises pour leurs fonctions. Utilisez le rôle Utilisateur avec des privilèges explicites au lieu du rôle Administrateur chaque fois que cela est possible.
-
Utiliser des groupes pour l'accès basé sur les équipes - Créez des groupes qui reflètent les rôles organisationnels (tels que les développeurs, les opérateurs, les auditeurs) et attribuez des privilèges aux groupes plutôt qu'aux utilisateurs individuels. Cela simplifie la gestion et assure la cohérence.
-
Activer l'authentification à plusieurs facteurs (MFA) - Exigez MFA pour le propriétaire du contrat, tous les administrateurs et les utilisateurs ayant des privilèges élevés. Cela ajoute une couche de sécurité critique.
-
Effectuer des examens d'accès réguliers - Au moins trimestriellement, examinez les comptes d'utilisateurs, les adhésions à des groupes et les privilèges attribués. Révoquez l'accès immédiatement lorsque les employés changent de rôle ou quittent l'organisation.
-
Faire pivoter les jetons API régulièrement - Utilisez des TTL courts pour les jetons de production (1-7 jours recommandés) et faites-les pivoter selon un calendrier régulier. Supprimez les jetons qui ne sont plus utilisés.
-
Utiliser IAM Federation lorsque disponible - Si votre organisation dispose déjà d'un IdP d'entreprise, utilisez IAM Federation pour centraliser l'authentification et exploiter vos contrôles de sécurité existants.
-
Documenter les politiques de IAM - Maintenez une documentation écrite qui définit les rôles, les structures de groupes, les attributions de privilèges et les calendriers d'examen. Cela assure la cohérence et aide aux audits de conformité.
-
Surveiller Activity Logs - Utilisez le service Activity Logs (couvert dans l'unité 3.4) pour suivre qui a effectué quelles actions et quand. Cela fournit une piste d'audit pour les fins de sécurité et de conformité.
5.2 Erreurs courantes de IAM à éviter
Plusieurs erreurs courantes peuvent compromettre la sécurité de IAM :
- Sur-autorisation des utilisateurs - Accorder des droits d'administrateur lorsque des privilèges spécifiques suffiraient augmente le risque si un compte est compromis
- Partage de mots de passe - Chaque individu devrait avoir son propre compte d'utilisateur et ses propres mots de passe, jamais partagés avec les collègues
- Ignorer les comptes inactifs - Ne pas supprimer les utilisateurs qui ont quitté l'organisation ou changé de rôle laisse des accès inutiles en place
- Utiliser des jetons à longue durée de vie - Les jetons avec des TTL de 365 jours sont pratiques mais créent des risques de sécurité à long terme s'ils sont compromis
- Oublier d'activer MFA - S'appuyer uniquement sur les mots de passe laisse les comptes vulnérables aux attaques de phishing et de stuffing de mots de passe
- Ne pas documenter les structures de groupes - Sans documentation, les attributions de privilèges deviennent floues avec le temps, rendant les audits difficiles
Cas d'utilisation courants
Scénarios du monde réel où la gestion des identités et des accès est essentielle :
-
Environnement de développement multi-équipes : Une société de logiciels a des équipes distinctes pour le frontend, le backend et le DevOps. En utilisant les groupes IONOS, ils créent "Développeurs frontend" avec des privilèges pour gérer Compute Engine et les équilibreurs de charge (couverts dans l'unité 2.2 et 2.4), "Développeurs backend" avec un accès à Database as a Service et Object Storage (unité 2.5 et 2.3), et "Ingénieurs DevOps" avec des privilèges d'infrastructure complets. Lorsque les développeurs changent d'équipe, les administrateurs les déplacent simplement vers le groupe approprié plutôt que de reconfigurer les autorisations individuelles.
-
Accès fédéré pour l'entreprise : Une grande entreprise utilise déjà Azure Active Directory pour l'authentification des employés sur tous les systèmes internes. En mettant en œuvre IAM Federation (Section 4), ils permettent aux employés de se connecter à IONOS Cloud en utilisant leurs informations d'identification d'entreprise et les politiques MFA. Lorsqu'un employé quitte l'entreprise, la désactivation de son compte Azure AD bloque son accès fédéré à IONOS Cloud. Le compte IONOS Cloud de l'employé doit toujours être supprimé dans le cadre de votre processus de déprovisionnement normal.
-
Automatisation API avec Token Manager : Une plateforme de commerce électronique utilise des scripts automatisés pour provisionner des environnements de test chaque matin et les détruire chaque soir pour économiser des coûts. En utilisant Token Manager (Section 3), ils génèrent un jeton API de 7 jours avec les privilèges requis minimum ("Créer VDC", "Créer des serveurs", "Supprimer des ressources") et l'utilisent dans leurs scripts d'automatisation. Le jeton est rotatif hebdomadaire et fournit une trace d'audit distincte des comptes d'utilisateurs individuels.
Résumé
La gestion des identités et des accès est l'élément clé de la sécurité cloud, déterminant qui peut accéder à vos ressources et ce qu'il peut faire avec elles. IONOS Cloud propose un cadre IAM complet basé sur le contrôle d'accès basé sur les rôles, vous permettant de mettre en œuvre des politiques de sécurité à grain fin qui s'étendent des petites équipes aux grandes entreprises.
Vous avez appris comment le système de rôles à trois niveaux d'IONOS (Propriétaire, Administrateur, Utilisateur) offre une flexibilité dans le contrôle d'accès, comment les utilisateurs et les groupes permettent une gestion des autorisations évolutives, et comment Token Manager sécurise l'authentification API. Vous avez également exploré comment IAM Federation et l'authentification unique peuvent intégrer IONOS Cloud avec votre infrastructure d'identité d'entreprise existante, en simplifiant l'authentification tout en améliorant la sécurité.
Une mise en œuvre efficace de IAM nécessite plus qu'une configuration technique. Elle exige un engagement envers le principe du minimum de privilèges, des examens d'accès réguliers, l'application de l'authentification à plusieurs facteurs, et une documentation claire des politiques et des procédures. En suivant ces meilleures pratiques, vous pouvez réduire considérablement les risques de sécurité tout en maintenant l'efficacité opérationnelle.
Points clés :
- IONOS Cloud utilise un modèle de contrôle d'accès basé sur les rôles (RBAC) avec trois rôles : Propriétaire (accès complet non restreint), Administrateur (accès complet sauf pour les modifications de paiement), et Utilisateur (privilèges accordés explicitement uniquement)
- Les groupes permettent une gestion des autorisations évolutives en vous permettant d'attribuer des privilèges collectivement à plusieurs utilisateurs plutôt qu'individuellement
- Token Manager génère des jetons Bearer pour une authentification API sécurisée, requise pour les comptes avec l'authentification à deux facteurs activée
- IAM Federation prend en charge SAML 2.0 et OpenID Connect, permettant aux utilisateurs de s'authentifier avec des fournisseurs d'identité externes pour l'authentification unique
- Le principe du minimum de privilèges signifie accorder aux utilisateurs uniquement les autorisations minimales requises pour leurs fonctions de travail, réduisant ainsi le risque de sécurité
- Les meilleures pratiques incluent l'activation de MFA, la réalisation d'examen d'accès trimestriels, la rotation régulière des jetons API, et la documentation des politiques IAM
Terminologie importante :
- RBAC (Contrôle d'accès basé sur les rôles) : Un modèle pour gérer l'accès en fonction de rôles prédéfinis avec des privilèges spécifiques
- Privilège : Une concession au niveau de l'action qui définit ce qu'un utilisateur ou un groupe peut effectuer (par exemple, créer des VDC, gérer des bases de données)
- Groupe : Une collection logique d'utilisateurs qui héritent des privilèges collectivement
- Token Manager : Un service pour générer des jetons Bearer (JWT) utilisés pour l'authentification API
- IAM Federation : Un service permettant aux utilisateurs de s'authentifier avec des fournisseurs d'identité externes en utilisant SAML 2.0 ou OIDC
- SSO (Authentification unique) : Méthode d'authentification permettant aux utilisateurs de se connecter une seule fois et d'accéder à plusieurs services sans saisie répétée des informations d'identification
- Principe du minimum de privilèges (PoLP) : Pratique de sécurité consistant à accorder aux utilisateurs uniquement les autorisations minimales requises pour leurs tâches
Prochaines étapes
Continuer l'apprentissage : Unité 3.3 : Gestion des coûts et facturation
Sujets connexes :