L'IAM est le périmètre de sécurité des organisations cloud-native. Chaque appel API, chaque accès aux données, chaque déploiement est une identité qui fait une requête. Bien faire l'IAM signifie le moindre privilège par défaut, l'auditabilité partout, et zéro accès permanent comme objectif.
Comparaison des Modèles de Contrôle d'Accès
| Modèle | Fonctionnement | Granularité | Scalabilité | Idéal pour |
|---|
| RBAC (Basée sur les rôles) | Utilisateurs assignés à des rôles | Niveau rôle | Bonne (<100 rôles) | La plupart des organisations |
| ABAC (Basée sur les attributs) | Politiques évaluent des attributs | Niveau attribut | Excellente | Accès dynamique, décisions contextuelles |
| PBAC (Basée sur les politiques) | Moteur de politiques centralisé | Niveau politique | Excellente | Multi-cloud, conformité complexe |
| ReBAC (Basée sur les relations) | Accès selon les relations ressource-utilisateur | Niveau relation | Excellente | Partage de documents, apps collaboratives |
| ACL (Liste de contrôle d'accès) | Liste par ressource des identités autorisées | Niveau ressource | Faible | Systèmes de fichiers simples |
Checklist des Principes IAM
| Principe | Description | Implementation |
|---|
| Moindre privilège | Accorder le minimum de permissions | Commencer à zéro, ajouter selon besoin ; revue trimestrielle |
| Séparation des responsabilités | Aucune identité ne peut compléter seule un workflow critique | Approbation multi-parties pour les changements production |
| Zéro accès permanent | Pas d'accès privilégié permanent | Accès just-in-time (JIT) avec élévation temporaire |
| Défense en profondeur | Plusieurs couches de contrôle d'accès | Réseau + IAM + autorisation applicative |
| Présumer la compromission | Concevoir comme si le périmètre était déjà compromis | Micro-segmentation, vérification continue |
| Auditabilité | Chaque décision d'accès est loguée | CloudTrail, logs d'audit, intégration SIEM |
| Rotation des credentials | Secrets et clés ont une durée de vie définie | Auto-rotation via Vault, AWS Secrets Manager |
| MFA partout | Multi-facteur pour tout accès humain | Clés physiques pour admins, TOTP minimum pour tous |
Mapping IAM Multi-Cloud
| Concept | AWS | GCP | Azure | Kubernetes |
|---|
| Fournisseur d'identité | IAM Users / SSO | Cloud Identity | Entra ID | ServiceAccount / OIDC |
| Rôle / principal | IAM Rôle | IAM Rôle | Managed Identity | ClusterRole / Rôle |
| Identité de service | IAM Rôle pour service | Service Account GCP | Managed Identity | K8s ServiceAccount |
| Identité workload | IRSA | Workload Identity Federation | Workload Identity Federation | Tokens SA projetés |
| Credentials temporaires | STS AssumeRole | Tokens court terme | Tokens Managed Identity | TokenRequest API |
| Périmètre de permissions | Permission Boundary | Organization Policy | Azure Policy | OPA / Kyverno |
| Langage de politique | JSON (IAM Policy) | YAML (IAM bindings) | JSON (ARM/Bicep) | YAML (RBAC manifests) |
Matrice de Gestion des Comptes de Service
| Aspect | Bonne pratique | Anti-pattern | Risque si ignoré |
|---|
| Nommage | Descriptif : svc-billing-api-prod | Générique : admin, service-account-1 | Inauditable |
| Rotation des clés | Auto-rotation tous les 90 jours max | Clés statiques jamais changées | Credentials compromis persistants |
| Périmètre | Un SA par workload | SA partagé entre services | Rayon d'explosion élargi |
| Permissions | Limitées aux actions API exactes | Permissions admin/owner | Mouvement lateral |
| Stockage des clés | Vault, secret manager cloud | Variables d'env, dépôts git | Fuite de credentials |
| Cycle de vie | Décommissionner avec le workload | SAs orphelins accumulés | Surface d'attaque inutilisée |
Architecture IAM Multi-Cloud
┌─────────────────────────────────────────────────────────┐
│ FOURNISSEUR D'IDENTITÉ (IdP) │
│ Okta / Entra ID / Google Workspace │
│ SSO + MFA + SCIM │
└────────────────────┬────────────────────────────────────┘
│ SAML / OIDC
┌────────────┼────────────┐
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────┐
│ AWS │ │ GCP │ │ Azure │
│ IAM/SSO │ │ Workload │ │ Entra ID │
│ │ │ Identity │ │ │
└────┬─────┘ └────┬─────┘ └────┬─────┘
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────┐
│ Workload │ │ Workload │ │ Workload │
│ (EKS) │ │ (GKE) │ │ (AKS) │
└──────────┘ └──────────┘ └──────────┘
Transverse : OPA/Cedar pour évaluation de politiques unifiée
Audit : SIEM centralisé (Splunk, Elastic, Datadog)
Ressources
:::