View a markdown version of this page

Limitar el acceso de los agentes a una AWS cuenta - AWS DevOps Agente
Comprender las funciones de IAM para el agente AWS DevOpsElegir los límites de los recursosRestricción del acceso al servicioLimitar el acceso a los recursosRestringir el acceso regionalCreación de políticas de IAM personalizadasMejores prácticas en materia de políticas personalizadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitar el acceso de los agentes a una AWS cuenta

AWS DevOps El agente utiliza las funciones de IAM para descubrir y describir AWS los recursos durante las investigaciones de incidentes y las evaluaciones preventivas. Puede controlar el nivel de acceso del agente configurando las políticas de IAM asociadas a estas funciones. La topología de la aplicación no muestra todo a lo que tiene acceso el agente; las políticas de IAM son la única forma de limitar realmente a qué AWS servicios APIs y recursos puede acceder el agente.

Comprender las funciones de IAM para el agente AWS DevOps

AWS DevOps El agente usa las funciones de IAM para acceder a los recursos en dos tipos de cuentas:

  • Función de cuenta principal: otorga al agente acceso a los recursos de la AWS cuenta en la que se crea el espacio de agentes.

  • Funciones de cuenta secundarias: otorga al agente acceso a los recursos de AWS las cuentas adicionales que usted conecte al espacio de agentes.

Para cualquier tipo de cuenta, puede restringir AWS los servicios a los que puede acceder el agente, limitar el acceso a recursos específicos dentro de esos servicios y controlar en qué regiones puede operar el agente.

Elegir los límites de los recursos

Al limitar el acceso a los recursos, debe incluir permisos suficientes para que el agente investigue correctamente los incidentes de las aplicaciones. Esto incluye:

  • Todos los recursos para las aplicaciones incluidas en el ámbito de aplicación que el agente debe supervisar e investigar

  • Toda la infraestructura de soporte de la que dependen esas aplicaciones

La infraestructura de soporte puede incluir:

  • Componentes de red (subredesVPCs, balanceadores de carga, pasarelas de API)

  • Almacenes de datos (bases de datos, cachés, almacenamiento de objetos)

  • Recursos informáticos (instancias EC2, funciones Lambda, contenedores)

  • Servicios de supervisión y registro (CloudWatch,) CloudTrail

  • Recursos de administración de identidad y acceso necesarios para comprender los permisos

Si restringe el acceso de forma demasiado restringida, es posible que el agente no pueda identificar las causas fundamentales que se originan en la infraestructura de soporte que está fuera de los límites definidos.

Restricción del acceso al servicio

Puede limitar AWS los servicios a los que puede acceder el agente modificando las políticas de IAM asociadas a las funciones del agente. Al crear políticas personalizadas, siga estas prácticas recomendadas:

  • Otorgue únicamente permisos de solo lectura: el agente debe leer las configuraciones, las métricas y los registros de los recursos durante las investigaciones. Evite conceder permisos que permitan al agente modificar o eliminar recursos.

  • Limite a los servicios necesarios: incluya solo los AWS servicios que contienen los recursos relevantes para sus aplicaciones. Por ejemplo, si su aplicación no usa Amazon RDS, no incluya los permisos de RDS en la política.

  • Utilice acciones específicas en lugar de caracteres comodín: en lugar de conceder service:* permisos, especifique acciones individuales como o. cloudwatch:GetMetricData ec2:DescribeInstances

Ejemplo de política que se restringe a servicios específicos:

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:DescribeAlarms",
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "ec2:DescribeInstances",
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "*"
    }
  ]
}

Limitar el acceso a los recursos

Para limitar el agente a recursos específicos dentro de un servicio, utilice los permisos a nivel de recurso en sus políticas de IAM. Esto le permite conceder acceso únicamente a los recursos que coincidan con patrones específicos.

Uso de patrones de ARN de recursos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "arn:aws:lambda:*:*:function:production-*"
    }
  ]
}

Este ejemplo limita al agente a acceder únicamente a las funciones de Lambda con nombres que comiencen por «production-».

Uso de restricciones basadas en etiquetas:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceStatus"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Este ejemplo limita al agente a acceder únicamente a las instancias de EC2 etiquetadas con. Environment=production

Restringir el acceso regional

Para limitar AWS las regiones a las que puede acceder el agente, utilice la clave de aws:RequestedRegion condición de sus políticas de IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "lambda:Get*",
        "cloudwatch:Get*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2"
          ]
        }
      }
    }
  ]
}

Este ejemplo limita al agente a acceder a los recursos únicamente en las regiones us-east-1 y us-west-2.

Creación de políticas de IAM personalizadas

Al crear un espacio de agente o añadir cuentas secundarias, tiene la opción de crear un rol de IAM personalizado mediante una plantilla de políticas. Esto le permite implementar el principio de privilegios mínimos.

Al crear un espacio de agente

Desde la consola del DevOps agente en la consola AWS de administración...

  • Elija Crear un nuevo rol de DevOps agente mediante un documento de política y siga las instrucciones

Al editar un espacio de agente

Desde la consola del DevOps agente a la consola AWS de administración...

  • Seleccione la pestaña Capacidades

  • Seleccione la cuenta secundaria que desee editar en la sección Cloud y haga clic en Editar

  • Elige Crear una nueva política de DevOps agente mediante una plantilla y sigue las instrucciones

Mejores prácticas en materia de políticas personalizadas

  • Otorgue únicamente permisos de solo lectura: evite los permisos que permiten la modificación o eliminación de recursos

  • Utilice permisos a nivel de recursos siempre que sea posible: restrinja el acceso a recursos específicos mediante patrones o etiquetas ARN

  • Revise y audite los permisos con regularidad: revise periódicamente las políticas de IAM del agente para asegurarse de que siguen ajustándose a sus requisitos de seguridad