Controlli perimetrali dei dati Perimetro di identità Perimetro di risorse Perimetro di rete Risorse per ulteriori informazioni sui perimetri di dati

Establish permissions guardrails using data perimeters

Le barriere perimetrali dei dati sono pensate per fungere da confini permanenti per aiutare a proteggere i dati su un'ampia gamma di account e risorse. AWS I perimetri dei dati seguono le best practice di sicurezza IAM per stabilire guardrail di autorizzazioni su più account. Questi guardrail di autorizzazione a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Funzionano invece come controlli di accesso generalizzati che aiutano a migliorare la strategia di sicurezza assicurando che utenti, ruoli e risorse aderiscano a una serie di standard di sicurezza definiti.

Un perimetro di dati è un insieme di barriere di autorizzazione nell' AWS ambiente che aiutano a garantire che solo le identità attendibili accedano alle risorse attendibili delle reti previste.

Identità affidabili: i responsabili (ruoli o utenti IAM) dei tuoi AWS account e servizi che agiscono per tuo conto. AWS
Risorse affidabili: risorse di proprietà AWS dei tuoi account o di AWS servizi che agiscono per tuo conto.
Reti previste: i data center locali e i cloud privati virtuali (VPCs) o le reti di AWS servizi che agiscono per conto dell'utente.

Nota

In alcuni casi, potrebbe essere necessario estendere il perimetro di dati in modo da includere anche l'accesso da parte di partner commerciali fidati. È necessario prendere in considerazione tutti i modelli di accesso ai dati previsti quando si crea una definizione di identità attendibili, risorse attendibili e reti previste specifiche per l'azienda e l'utilizzo dei Servizi AWS.

I controlli perimetrali dei dati devono essere trattati come qualsiasi altro controllo di sicurezza nell'ambito del programma di sicurezza delle informazioni e di gestione del rischio. Ciò significa che è necessario eseguire un'analisi delle minacce per identificare i potenziali rischi all'interno del proprio ambiente cloud e quindi, in base ai propri criteri di accettazione del rischio, selezionare e implementare controlli perimetrali dei dati appropriati. Per definire meglio l'approccio iterativo basato sul rischio all'implementazione del perimetro dei dati, è necessario comprendere quali rischi e vettori di minaccia vengono affrontati dai controlli perimetrali dei dati, nonché le priorità di sicurezza.

Controlli perimetrali dei dati

I controlli granulari sul perimetro dei dati aiutano a raggiungere sei obiettivi di sicurezza distinti su tre perimetri di dati attraverso l'implementazione di diverse combinazioni di Tipi di policy e chiavi di condizioni.

Perimetro	Obiettivo di controllo	Utilizzo	Applicato il	Chiavi di contesto della condizione globale
Identità	Solo le identità attendibili possono accedere alle mie risorse	RCP	Risorse	aws: ID PrincipalOrg leggi: PrincipalOrgPaths leggi: PrincipalAccount leggi: PrincipalIsAwsService aws: SourceOrg ID leggi: SourceOrgPath leggi: SourceAccount
Identità	Nella mia rete sono consentite solo identità attendibili	Policy degli endpoint VPC	Rete
Risorse	Le tue identità possono accedere solo a risorse attendibili	SCP	Identità	aws: ResourceOrg ID leggi: ResourceOrgPaths leggi: ResourceAccount
Risorse	Dalla rete è possibile accedere solo a risorse attendibili	Policy degli endpoint VPC	Rete
Rete	Le tue identità possono accedere alle risorse solo dalle reti previste	SCP	Identità	leggi: SourceIp leggi: SourceVpc leggi: SourceVpce AWS: via AWSService leggi: PrincipalIsAwsService
Rete	Le tue risorse sono accessibili solo dalle reti previste	RCP	Risorse

Puoi pensare ai perimetri dei dati come alla creazione di un confine preciso attorno ai dati per prevenire schemi di accesso non intenzionali. Sebbene i perimetri dei dati possano impedire ampi accessi involontari, è comunque necessario prendere decisioni granulari sul controllo degli accessi. La definizione di un perimetro di dati non riduce la necessità di ottimizzare continuamente le autorizzazioni utilizzando strumenti come Sistema di analisi degli accessi IAM come parte del percorso verso il privilegio minimo.

Per applicare i controlli perimetrali dei dati su risorse che attualmente non sono supportate da RCPs, puoi utilizzare policy basate sulle risorse collegate direttamente alle risorse. Per un elenco di servizi che supportano politiche basate sulle risorse, vedere Politiche di controllo delle risorse () RCPs e. RCPs AWS servizi che funzionano con IAM

Perimetro di identità

Un perimetro di identità è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità affidabili siano consentite dalla rete. Le identità affidabili includono i responsabili (ruoli o utenti) dei tuoi AWS account e i AWS servizi che agiscono per tuo conto. Tutte le altre identità sono considerate non attendibili e sono impedite dal perimetro dell'identità, a meno che non venga concessa un'eccezione esplicita.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle identità. Utilizza queste chiavi nelle policy di controllo delle risorse per limitare l'accesso alle risorse o nelle policy degli endpoint VPC per limitare l'accesso alle tue reti.

aws:PrincipalOrgID: è possibile utilizzare questa chiave di condizione per garantire che i principali IAM che effettuano la richiesta appartengano all'organizzazione specificata in AWS Organizations.
aws:PrincipalOrgPaths— Puoi utilizzare questa chiave di condizione per assicurarti che l'utente IAM, il ruolo IAM, il principale utente AWS STS federato, il principale federato SAML, il principale federato OIDC o che Utente root dell'account AWS effettua la richiesta appartengano all'unità organizzativa (OU) specificata in. AWS Organizations
aws:PrincipalAccount: è possibile utilizzare questa chiave di condizione per garantire che le risorse siano accessibili solo all'account principale specificato nella policy.
aws:PrincipalIsAWSService e aws:SourceOrgID (alternativamente aws:SourceOrgPaths e aws:SourceAccount): è possibile utilizzare queste chiavi di condizione per garantire che, quando i principali del Servizio AWS accedono alle risorse, lo facciano solo per conto di una risorsa dell'organizzazione, dell'unità organizzativa o di un account in AWS Organizations.

Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti solo alle identità affidabili di accedere ai dati aziendali.

Perimetro di risorse

Un perimetro di risorse è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità attendibili siano consentite dalla rete. Le risorse affidabili includono le risorse di proprietà AWS dei tuoi account o dei AWS servizi che agiscono per tuo conto.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle risorse. Utilizza queste chiavi nelle policy di controllo del servizio (SCPs) per limitare le risorse a cui possono accedere le tue identità o nelle politiche degli endpoint VPC per limitare le risorse a cui è possibile accedere dalle tue reti.

aws:ResourceOrgID: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'organizzazione specificata in AWS Organizations.
aws:ResourceOrgPaths: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'unità organizzativa (UO) specificata in AWS Organizations.
aws:ResourceAccount: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'account specificato in AWS Organizations.

In alcuni casi, potrebbe essere necessario consentire l'accesso a risorse AWS di proprietà, risorse che non appartengono all'organizzazione e a cui accedono i responsabili o i AWS servizi che agiscono per conto dell'utente. Per ulteriori informazioni su questi scenari, consulta Stabilire un perimetro di dati su AWS: Consenti solo risorse attendibili della mia organizzazione.

Perimetro di rete

Un perimetro di rete è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che le proprie identità possano accedere solo dalle reti previste e che le risorse siano accessibili solo dalle reti previste. Le reti previste includono i data center locali e i cloud privati virtuali (VPCs) e le reti di AWS servizi che agiscono per conto dell'utente.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali della rete. Utilizzate queste chiavi nelle politiche di controllo dei servizi (SCPs) per limitare le reti da cui le identità possono comunicare o nelle politiche di controllo delle risorse (RCPs) per limitare l'accesso alle risorse alle reti previste.

aws:SourceIp: è possibile utilizzare questa chiave di condizione per garantire che l'indirizzo IP del richiedente rientri in un intervallo IP specificato.
aws:SourceVpc: è possibile utilizzare questa chiave di condizione per garantire che l'endpoint VPC attraverso cui viaggia la richiesta appartenga al VPC specificato.
aws:SourceVpce: è possibile utilizzare questa chiave di condizione per garantire che la richiesta viaggi attraverso l'endpoint VPC specificato.
aws:ViaAWSService— È possibile utilizzare questa chiave condizionale per garantire che sia Servizi AWS possibile effettuare richieste per conto del principale utente Inoltro delle sessioni di accesso (FAS).
aws:PrincipalIsAWSService— È possibile utilizzare questa chiave di condizione per assicurarsi che sia Servizi AWS possibile accedere alle risorse utilizzandoAWS presidi del servizio.

Esistono altri scenari in cui è necessario consentire l'accesso a Servizi AWS tale accesso alle risorse dall'esterno della rete. Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti l'accesso ai dati aziendali solo dalle reti previste.

Risorse per ulteriori informazioni sui perimetri di dati

Le seguenti risorse possono rivelarsi utili per saperne di più sui perimetri di dati su AWS.

Perimetri dei dati attivi AWS: scopri i perimetri dei dati e i relativi vantaggi e casi d'uso.
Serie di post sul blog: Stabilire un perimetro di dati su AWS — Questi post del blog contengono linee guida prescrittive per stabilire il perimetro dei dati su larga scala, comprese considerazioni chiave sulla sicurezza e l'implementazione.
Esempi di policy relative al perimetro dei dati: questo GitHub repository contiene esempi di policy che coprono alcuni modelli comuni per aiutarti a implementare un perimetro di dati. AWS
Supporto per il perimetro dei dati: questo strumento consente di progettare e anticipare l'impatto dei controlli perimetrali dei dati analizzando l'attività di accesso nei log AWS CloudTrail.
Whitepaper: Building a Data Perimeter on — AWS Questo paper delinea le migliori pratiche e i servizi disponibili per creare un perimetro attorno a identità, risorse e reti. AWS
Webinar: Creazione di un perimetro di dati in: scopri dove e come implementare i controlli perimetrali dei dati in AWS base a diversi scenari di rischio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy gestite obsolete AWS

Limiti delle autorizzazioni