Début de quête à la découverte d'AWS

En ce début d’année 2021, je me suis lancé dans un projet de découverte des services d’AWS (Amazon Web Services). Mon objectif est de connaître les différents services proposés par cet hébergeur mais également de savoir comment les sécuriser.

Préparer l’aventure avec une certification

Pour commencer ce périple, j’ai passé la certification AWS Certified Cloud Practitioner. Pour la préparer, Amazon met à disposition une plateforme de formation. Une fois le module sélectionné, trois interlocuteurs vont nous présenter les différents services d’AWS à travers des vidéos. On appréciera leur dynamisme sur fond vert et les matchs de catch inter-services :) La formation se divise en 11 modules qui permettront d’apporter des compléments d’informations au vidéo en vous dirigeant vers la documentation en ligne que je recommande vivement de parcourir. Vous aurez à la fin de chaque module un questionnaire pour vérifier que vous avez les acquis. Un examen blanc est disponible à la fin de l’examen. Il est à regretter que celui-ci contient tout le temps les mêmes questions, même quand on le relance. Il faudra compter une semaine de travail intensif pour en venir à bout.

Avec la covid, il n’est pas possible de passer l’examen dans un centre physique. J’ai donc réalisé l’examen en ligne. A savoir que vous aurez besoin d’un bureau totalement vide en dehors de l’ordinateur et de prendre en photo toute la pièce. Pendant tout l’examen, vous serez surveillé via votre webcam et votre microphone et tout sera enregistré pour s’assurer que vous n’aurez pas triché. L’examen consiste à un QCM de 60-75 questions. Vous aurez les résultats 3 jours plus tard le temps que l’enregistrement montre que vous n’avez pas triché. Il est tout à fait possible de répondre au hasard aux questions puisqu’il n’y a pas de barème négatif.

Hardening du compte AWS

Lors de la création de votre compte, il est vivement recommandé d’utiliser un mot de passe fort. Aujourd’hui l’ANSSI recommande un mot de passe de 16 caractères. Si vous utilisez un gestionnaire de mot de passe, vous n’aurez aucune difficulté à retenir un mot de passe plus long. Ce premier compte est se verra attribuer tous les droits (root) sur votre environnement AWS. C’est pourquoi il est vivement conseillé de suivre les étapes suivantes:

1. Mettre en place une authentification forte avec un OTP. Il est très simple de mettre en place un OTP avec Google Authenticator ou Authy. La documentation AWS est largement suffisante pour vous aider si vous rencontrez la moindre difficulté lors de la configuration.
2. Créer un compte à moindre privilège. Allez dans la console IAM d’AWS pour créer un nouvel utilisateur. Une fois l’utilisateur créé, vous devez l’ajouter à un groupe. En effet, c’est le groupe qui détient les permissions pour suivre le modèle RBAC. Lors de votre première connexion, il vous faudra créer un Groupe. AWS propose des règles de gestion d’accès par défaut que vous pouvez appliquer à un groupe. Libre à vous de les compléter.
3. Activer CloudTrail. Attention ce service est payant si vous souhaitez conserver plus de 90 jours de log, se référer à la fiche AWS pour avoir les derniers tarifs en vigueur. CloudTrails est le service de log des activités d’AWS. Il vous permettra de suivre les connexions, lancement ou arrêt d’instance, l’achat de nouveaux services…

Voilà vous avez désormais un compte AWS fonctionnel et sécurisé. Vous pouvez maintenant profiter des services d’AWS sans craindre que quelqu’un vous vole votre compte.