# GESTION DES COMPTES ### SUPPRIMER/DÉSACTIVER LES COMPTES INACTIFS DEPUIS X JOURS Difficile à mettre en place dans le cas d'une entreprise de services numériques (et pourtant...), il est nécessaire de s'assurer que les comptes présents sont utilisés et utilisables périodiquement. Si un compte n'a pas été actif depuis plusieurs semaines/mois, il est nécessaire de se poser quelques questions : * L'utilisateur a-t-il toujours besoin de ce compte ? * L'utilisateur sait-il toujours comment se connecter ? * L'utilisateur s'est-il déjà connecté ? Si non, voir les questions précédentes. **Requête AWS :** ```bash aws iam list-users --output table ``` ### POLITIQUE DE MOT DE PASSE ET DE CLÉS D'ACCÈS Comme pour toutes les infrastructures, il est important de définir une politique de gestion des mots de passe. Étant donné que les risques et la probabilité d'exploitation ne sont pas les mêmes que pour vos réseaux internes, il est possible qu'elle soit dédiée à votre infrastructure cloud. **À retenir :** * Longueurs (maximale et minimale) des mots de passe, * Complexité, * Réutilisation, * Durée de vie (maximale et minimale). ### NE PAS ACTIVER LES DROITS COMPLETS Comme toujours, il est recommandé de suivre le principe du moindre privilège, c'est-à-dire de fournir uniquement les droits strictement nécessaires à vos utilisateurs. Accorder trop de droits, dans ce cas des droits maximaux, est la meilleure façon de mettre votre infrastructure en danger. **Requête AWS :** ```bash aws iam list-policies --query 'Policies[?PolicyId!=`{managed-policies-arn}`].{ ``` ### CRÉER UN RÔLE POUR LA GESTION DES INCIDENTS Le cloud hérite des hérésies déjà observées dans les infrastructures sur site. Nous retrouvons ici le fameux "Je mets le compte administrateur de domaine pour qu'il puisse changer le mot de passe". C'est pourquoi il est important de créer un rôle permettant aux utilisateurs de gérer les incidents avec le support AWS. **Documentation :**