Best practice per le policy Consenti il minimo accesso per abilitare Gestione audit Consenti accesso amministratore Consentire l’accesso alla gestione Concessione dell’accesso in sola lettura Consentire agli utenti di visualizzare le loro autorizzazioni Consenti AWS Audit Manager l'invio di notifiche agli argomenti di Amazon SNS Consenti l’accesso alle query di Evidence Finder

Esempi di policy basate sull'identità per AWS Audit Manager

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Gestione audit. Per concedere agli utenti l’autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare Creazione di policy IAM (console) nella Guida per l’utente di IAM.

Per dettagli sulle azioni e sui tipi di risorse definiti da AWS Audit Manager, incluso il formato di ARNs per ciascun tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per AWS Audit Manager nel Service Audit Reference.

Indice

Best practice per le policy

Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Gestione audit nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l' Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le policy AWS gestite che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consultare Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.
Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consultare Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.
Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso a operazioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consultare Best practice di sicurezza in IAM nella Guida per l’utente di IAM.

Consenti le autorizzazioni minime richieste per abilitare Gestione audit

In questo esempio viene illustrato come consentire l'attivazione di account senza ruolo di amministratore per abilitare AWS Audit Manager.

Nota

Ciò che forniamo qui è una policy di base che concede le autorizzazioni minime necessarie per abilitare Gestione audit. Sono necessarie tutte le autorizzazioni previste nella seguente policy. Se ometti una parte di questa policy non potrai più abilitare Gestione audit.

Ti consigliamo di dedicare del tempo alla personalizzazione delle autorizzazioni in modo che soddisfino le tue esigenze specifiche. Per ulteriore assistenza, contatta l’amministratore o il Supporto AWS.

Per concedere l’accesso minimo richiesto per abilitare Gestione audit, utilizza le seguenti autorizzazioni.

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che si sta cercando di eseguire.

Consenti agli utenti l’accesso completo come amministratore a AWS Audit Manager

I seguenti criteri di esempio concedono l'accesso amministrativo completo a AWS Audit Manager.

Esempio 1 (Policy gestita, AWSAuditManagerAdministratorAccess)
Esempio 2 (autorizzazioni di destinazione del rapporto di valutazione)
Esempio 3 (Autorizzazioni per abilitare lo strumento di ricerca delle prove)
Esempio 4 (Autorizzazioni per disabilitare Evidence Finder)

Esempio 1 (Policy gestita, `AWSAuditManagerAdministratorAccess`)

La AWSAuditManagerAdministratorAccesspolicy include la possibilità di abilitare e disabilitare Audit Manager, la possibilità di modificare le impostazioni di Audit Manager e la possibilità di gestire tutte le risorse di Audit Manager come valutazioni, framework, controlli e report di valutazione.

Esempio 2 (autorizzazioni di destinazione del rapporto di valutazione)

Questa policy ti concede l’autorizzazione ad accedere a uno specifico bucket S3 e ad aggiungere ed eliminare file dallo stesso. Ciò consente di utilizzare il bucket specificato come destinazione del rapporto di valutazione in Gestione audit.

Sostituire placeholder text con le proprie informazioni. Includi il bucket S3 che utilizzi come destinazione del rapporto di valutazione e la chiave KMS che utilizzi per crittografare i report di valutazione.

Esempio 3 (Autorizzazioni per abilitare lo strumento di ricerca delle prove)

La seguente policy di autorizzazione è obbligatoria se desideri abilitare e utilizzare la funzionalità di ricerca delle prove. Questa dichiarazione politica consente all'Audit Manager di creare un archivio dati di eventi CloudTrail Lake ed eseguire query di ricerca.

Esempio 4 (Autorizzazioni per disabilitare Evidence Finder)

Questa policy di esempio concede l’autorizzazione a disabilitare la funzionalità Evidence Finder in Gestione audit. Ciò comporta l'eliminazione dell’archivio di dati degli eventi creato quando la funzionalità è stata abilitata per la prima volta.

Prima di utilizzare questa politica, sostituiscila placeholder text con le tue informazioni. È necessario specificare l’UUID dell’archivio di dati degli eventi creato quando è stato abilitato Evidence Finder. Puoi recuperare l’ARN del datastore di eventi dalle tue impostazioni di Gestione audit. Per ulteriori informazioni, consulta GetSettings nella documentazione di riferimento dell'API AWS Audit Manager .

Consentire l’accesso alla gestione degli utenti a AWS Audit Manager

In questo esempio viene illustrato come consentire l’accesso alla gestione non amministrativa a AWS Audit Manager.

Questa policy garantisce la possibilità di gestire tutte le risorse di Gestione audit (valutazioni, framework e controlli), ma non garantisce la possibilità di abilitare o disabilitare Gestione audit o di modificare le impostazioni di Gestione audit.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AuditManagerAccess",
            "Effect": "Allow",
            "Action": [
                "auditmanager:AssociateAssessmentReportEvidenceFolder",
                "auditmanager:BatchAssociateAssessmentReportEvidence",
                "auditmanager:BatchCreateDelegationByAssessment",
                "auditmanager:BatchDeleteDelegationByAssessment",
                "auditmanager:BatchDisassociateAssessmentReportEvidence",
                "auditmanager:BatchImportEvidenceToAssessmentControl",
                "auditmanager:CreateAssessment",
                "auditmanager:CreateAssessmentFramework",
                "auditmanager:CreateAssessmentReport",
                "auditmanager:CreateControl",
                "auditmanager:DeleteControl",
                "auditmanager:DeleteAssessment",
                "auditmanager:DeleteAssessmentFramework",
                "auditmanager:DeleteAssessmentFrameworkShare",
                "auditmanager:DeleteAssessmentReport",
                "auditmanager:DisassociateAssessmentReportEvidenceFolder",
                "auditmanager:GetAccountStatus",
                "auditmanager:GetAssessment",
                "auditmanager:GetAssessmentFramework",
                "auditmanager:GetControl",
                "auditmanager:GetServicesInScope",
                "auditmanager:GetSettings",
                "auditmanager:GetAssessmentReportUrl",
                "auditmanager:GetChangeLogs",
                "auditmanager:GetDelegations",
                "auditmanager:GetEvidence",
                "auditmanager:GetEvidenceByEvidenceFolder",
                "auditmanager:GetEvidenceFileUploadUrl",
                "auditmanager:GetEvidenceFolder",
                "auditmanager:GetEvidenceFoldersByAssessment",
                "auditmanager:GetEvidenceFoldersByAssessmentControl",
                "auditmanager:GetInsights",
                "auditmanager:GetInsightsByAssessment",
                "auditmanager:GetOrganizationAdminAccount",
                "auditmanager:ListAssessments",
                "auditmanager:ListAssessmentReports",
                "auditmanager:ListControls",
                "auditmanager:ListKeywordsForDataSource",
                "auditmanager:ListNotifications",
                "auditmanager:ListAssessmentControlInsightsByControlDomain",
                "auditmanager:ListAssessmentFrameworks",
                "auditmanager:ListAssessmentFrameworkShareRequests",
                "auditmanager:ListControlDomainInsights",
                "auditmanager:ListControlDomainInsightsByAssessment",
                "auditmanager:ListControlInsightsByControlDomain",
                "auditmanager:ListTagsForResource",
                "auditmanager:StartAssessmentFrameworkShare",
                "auditmanager:TagResource",
                "auditmanager:UntagResource",
                "auditmanager:UpdateControl",
                "auditmanager:UpdateAssessment",
                "auditmanager:UpdateAssessmentControl",
                "auditmanager:UpdateAssessmentControlSetStatus",
                "auditmanager:UpdateAssessmentFramework",
                "auditmanager:UpdateAssessmentFrameworkShare",
                "auditmanager:UpdateAssessmentStatus",
                "auditmanager:ValidateAssessmentReportIntegrity"
            ],
            "Resource": "*"
        },
        {
    	"Sid": "ControlCatalogAccess",
    	"Effect": "Allow",
    	"Action": [
		"controlcatalog:ListCommonControls",
		"controlcatalog:ListDomains",
		"controlcatalog:ListObjectives"
    	],
    	"Resource": "*"
        },
        {
            "Sid": "OrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMAccess",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ListUsers",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3Access",
            "Effect": "Allow",
            "Action": [        
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsAccess",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListKeys",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SNSAccess",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagAccess",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

Consenti agli utenti l'accesso in sola lettura a AWS Audit Manager

Questa politica garantisce l'accesso in sola lettura a AWS Audit Manager risorse quali valutazioni, framework e controlli.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Le policy in questo esempio concedono autorizzazioni Gestione audit per inviare notifiche a un argomento Amazon SNS esistente.

Esempio 1 — Se desideri ricevere notifiche da Audit Manager, usa questo esempio per aggiungere autorizzazioni alla tua politica di accesso agli argomenti SNS.
Esempio 2: se l'argomento SNS utilizza AWS Key Management Service (AWS KMS) per la crittografia lato server (SSE), utilizza questo esempio per aggiungere autorizzazioni alla politica di accesso tramite chiave KMS.

Nelle seguenti policy, il principale che ottiene le autorizzazioni è il principale del servizio Gestione audit, ovvero auditmanager.amazonaws.com. Quando il principale in un'istruzione della policy è un AWS principale del servizio, consigliamo vivamente di utilizzare le chiavi di condizione globale aws:SourceArn o aws:SourceAccount nella policy. È possibile utilizzare queste chiavi di contesto relative alla condizione globale per evitare lo scenario “deputy confused”.

Questa policy consente a Gestione audit di pubblicare eventi sull’argomento SNS specificato. Qualsiasi richiesta di pubblicazione sull’argomento SNS specificato deve soddisfare le condizioni della policy.

Prima di utilizzare questa politica, sostituiscila con le tue informazioni. placeholder text Prendi nota di quanto segue:

Se utilizzi la chiave di condizione aws:SourceArn in questa policy, il valore deve essere l’ARN della risorsa Gestione audit da cui proviene la notifica. Nell’esempio seguente, aws:SourceArn utilizza un carattere jolly (*) per l’ID della risorsa. Ciò consente tutte le richieste provenienti da Gestione audit su tutte le risorse di Gestione audit. Con la chiave di condizione globale aws:SourceArn, puoi utilizzare l'operatore di condizione StringLike o ArnLike. Come best practice, ti suggeriamo di utilizzare ArnLike.
Con la chiave di condizione globale aws:SourceAccount, puoi utilizzare l’operatore di condizione StringEquals o StringLike. Come best practice, consigliamo di usare StringEquals per implementare il privilegio minimo.
Se utilizzi sia aws:SourceAccount che aws:SourceArn, i valori account devono mostrare lo stesso ID account.

L’esempio seguente utilizza solo la chiave di condizione aws:SourceArn con l’operatore di condizione StringLike:


      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:auditmanager:region:accountID:*"
        }
      }

L’esempio seguente utilizza solo la chiave di condizione aws:SourceAccount con l’operatore di condizione StringLike:


   "Condition": {
     "StringLike": {
       "aws:SourceAccount": "accountID"
      }
    }

Questa policy permette a Gestione audit di utilizzare la chiave KMS per generare la chiave dati che usa per crittografare un argomento SNS. Qualsiasi richiesta di utilizzare la chiave KMS per l’operazione specificata deve soddisfare le condizioni di questa policy.

Prima di utilizzare questa politica, placeholder text sostituiscila con le tue informazioni. Prendi nota di quanto segue:

Se utilizzi la chiave di condizione aws:SourceArn in questa policy, il valore deve essere l’ARN della risorsa che viene crittografata. Ad esempio, in questo caso, è l’argomento SNS del tuo account. Imposta il valore sull’ARN o un modello ARN con caratteri jolly (*). Con la chiave di condizione globale aws:SourceArn puoi utilizzare l’operatore di condizione StringLike o ArnLike. Come best practice, ti suggeriamo di utilizzare ArnLike.
Con la chiave di condizione globale aws:SourceAccount, puoi utilizzare l’operatore di condizione StringEquals o StringLike. Come best practice, consigliamo di usare StringEquals per implementare il privilegio minimo. Puoi utilizzare aws:SourceAccount se non conosci l’ARN dell’argomento SNS.
Se utilizzi sia aws:SourceAccount che aws:SourceArn, i valori account devono mostrare lo stesso ID account.

L’esempio seguente utilizza solo la chiave di condizione aws:SourceArn con l’operatore di condizione StringLike:


      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:sns:region:accountID:topicName"
        }
      }

L’esempio seguente utilizza solo la chiave di condizione aws:SourceAccount con l’operatore di condizione StringLike:


   "Condition": {
     "StringLike": {
       "aws:SourceAccount": "accountID"
      }
    }

Consenti agli utenti di eseguire query di ricerca in Evidence Finder

La seguente politica concede le autorizzazioni per eseguire query su un data store di eventi CloudTrail Lake. La presente policy di autorizzazione è obbligatoria se desideri utilizzare la funzionalità di ricerca delle prove.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come AWS Audit Manager funziona con IAM

Prevenzione del problema "confused deputy" tra servizi