FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Développement29 juin 2026· via DEV Community

Un moteur qui impose une recertification AWS en temps réel

Un moteur qui impose une recertification AWS en temps réel

Image : DEV Community

La plupart des organisations révoquent les accès AWS lors d’examens… sans jamais les supprimer vraiment. Une décision « non » est prise, un ticket est ouvert, et les permissions restent intactes. Ce décalage entre la politique et la réalité vient enfin de trouver une solution.

Du papier à l’action

VIGIL aborde la recertification—ce droit d’accès doit-il persister ?—comme une étape unique et atomique. Au lieu de générer une liste à valider par un humain en espérant un suivi, le moteur identifie les ressources accessibles par un propriétaire, lui demande de conserver, réduire ou supprimer l’accès, applique la modification en direct et enregistre la preuve. La décision du propriétaire et le changement de permission surviennent simultanément, éliminant des semaines ou mois de risques latents.

Suppression sécurisée, application ciblée

Des révocations trop larges peuvent provoquer des pannes. VIGIL n’ôte donc jamais des politiques entières. Si l’accès provient d’une politique de compartiment, il retire uniquement le principal ou les actions concernés. Si l’accès dépend d’une politique IAM propre au principal, il ajoute un Deny explicite restreint à la ressource, sans toucher aux autres permissions. Quand une modification ne peut être effectuée de manière précise, VIGIL ouvre un ticket plutôt que de prendre des risques.

Preuves intègres pour les audits

Chaque décision et modification est enregistrée dans un historique immuable, chaque entrée étant liée par hachage à la précédente, ce qui rend toute altération détectable. Le stockage optionnel dans un compartiment S3 verrouillé par Object Lock empêche toute suppression pendant une période définie. Grâce aux instantanés de l’état antérieur, toute modification peut être annulée à la demande—une demande d’audit se résume ainsi à une simple requête, sans avoir à fouiller dans des feuilles de calcul.

Conçu pour s’étendre

VIGIL inclut des connecteurs pour les compartiments S3, les utilisateurs IAM, les rôles IAM et les instances EC2, chacun implémenté via quatre méthodes : snapshot, revoke, modify et rollback. L’ajout de nouveaux services ne nécessite qu’un nouveau connecteur, sans réécrire le moteur central. L’ensemble du système est serverless—Lambda, SQS, DynamoDB, Cognito, SES et API Gateway—et propose une API REST documentée pour permettre aux équipes d’intégrer leurs propres interfaces.

Source : DEV Community. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur DEV Community →

← Retour à l'accueil