Aller au contenu principal

Intégration AWS IAM

L'intégration AWS IAM offre une visibilité complète sur votre infrastructure AWS Identity and Access Management, en enrichissant votre gouvernance NHI d'un contexte détaillé sur les permissions et d'insights de sécurité.

Vue d'ensemble

Cette intégration est fournie directement dans la plateforme GitGuardian et ne nécessite pas l'installation de GitGuardian Scout. Elle récupère des données complètes d'AWS IAM, dont toutes les permissions liées aux utilisateurs, rôles et groupes, et relie ces permissions aux clés d'API AWS. Cela enrichit votre graphe de sécurité avec un contexte détaillé sur la sensibilité des identifiants et le blast radius potentiel en cas de fuite.

Fonctionnalités clés

  • Analyse complète des permissions : récupère l'ensemble des données AWS IAM, y compris les policies, rôles, utilisateurs et groupes
  • Contexte des clés API : analyse les permissions liées aux clés API AWS pour comprendre leur impact potentiel
  • Enrichissement du graphe de sécurité : fournit un contexte détaillé sur la sensibilité des identifiants et le blast radius
  • Authentification sécurisée : utilise l'authentification OIDC, éliminant le besoin d'identifiants à longue durée de vie

Démarrer

Suivez ces étapes pour configurer l'intégration AWS IAM :

Étape 1 : Configurer le fournisseur OIDC dans AWS

Ajoutez l'instance GitGuardian comme fournisseur OIDC dans votre compte AWS.

AWS IAM Base Configuration

Create OIDC Provider

Étape 2 : Créer un rôle AWS IAM

Créez un rôle AWS qui fait confiance au fournisseur OIDC GitGuardian. Cela implique de configurer à la fois une trust policy et une permission policy.

Trust Policy

Configurez la trust policy pour autoriser le fournisseur OIDC GitGuardian à assumer le rôle. Pour plus de sécurité, ajoutez une condition qui restreint l'accès à votre compte GitGuardian spécifique :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::{your-aws-account-id}:oidc-provider/{your-gitguardian-oidc-provider}"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "{your-gitguardian-oidc-provider}:sub": "gitguardian-account-id:{your-gitguardian-account-id}"
                }
            }
        }
    ]
}

Note : remplacez les placeholders :

  • {your-aws-account-id} : votre identifiant de compte AWS
  • {your-gitguardian-oidc-provider} : l'URL du fournisseur OIDC configurée à l'étape 1, sans le préfixe https://. Pour GitGuardian Platform SaaS, ce sera api.gitguardian.com
  • {your-gitguardian-account-id} : votre identifiant de compte GitGuardian, que vous trouverez dans l'URL de votre tableau de bord GitGuardian : https://dashboard.gitguardian.com/workspace/{your-gitguardian-account-id}/

Exemple : si l'URL de votre tableau de bord est https://dashboard.gitguardian.com/workspace/123456/, alors votre identifiant de compte GitGuardian est 123456.

La condition sub (gitguardian-account-id:{your-gitguardian-account-id}) garantit que seul votre compte GitGuardian spécifique peut assumer ce rôle, ajoutant une couche de sécurité supplémentaire.

Cela peut aussi se faire depuis l'interface, en sélectionnant Web Identity lors de la création du rôle AWS IAM.

Permission Policy

Attachez la permission policy suivante pour accorder les permissions de lecture IAM nécessaires :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccessKeyLastUsed",
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRolePolicy",
                "iam:GetUserPolicy",
                "iam:ListAccessKeys",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Étape 3 : Accéder aux paramètres d'intégration GitGuardian

Dans la plateforme GitGuardian, naviguez vers Settings > Sources pour accéder à la page de configuration de l'intégration.

GIM Source Integration

Étape 4 : Ajouter l'intégration AWS IAM

Configurez la nouvelle intégration AWS IAM en fournissant :

  • AWS Account ID : votre identifiant de compte AWS
  • Role ARN : l'ARN du rôle créé à l'étape 2

GIM Add Integration

Finalisation

Vous êtes prêt ! GitGuardian va commencer à récupérer les données AWS IAM de votre compte, en enrichissant votre graphe de sécurité d'un contexte de permissions complet pour les identifiants AWS découverts.

Une fois l'intégration active, vous pourrez visualiser les données AWS enrichies dans votre plateforme GitGuardian. L'inventaire NHI affichera toutes les clés d'API AWS découvertes avec des métadonnées complètes :

AWS NHI Inventory

Chaque clé d'API AWS disposera d'un graphe de sécurité enrichi présentant une analyse détaillée des permissions :

AWS API Key Graph Resources

Autres intégrations

Pour des informations sur les autres intégrations (gestionnaires de secrets, systèmes CI/CD, sources d'infrastructure), reportez-vous à la documentation ggscout.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API