Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concetti chiave per l'utilizzo dei controlli di accesso basati su certificati in AWS
I controlli di accesso basati su certificati richiedono la comprensione di diversi concetti di autenticazione e autorizzazione interdipendenti. AWS Ad esempio, il principio del privilegio minimo determina l'ambito delle autorizzazioni concesse tramite l'autenticazione basata su certificati, che influisce direttamente sul ruolo (IAM) e sulla progettazione delle politiche. AWS Identity and Access Management L'autenticazione basata su certificati di per sé si basa sulla convalida dei certificati X.509 rispetto ai trust anchor configurati, che definiscono la catena di fiducia crittografica per la verifica dei certificati. Le credenziali di sicurezza temporanee generate attraverso questo processo hanno caratteristiche specifiche del ciclo di vita che influiscono sulla gestione delle sessioni e sulle strategie di rotazione delle credenziali. Inoltre, AWS Identity and Access Management Roles Anywhere implementa un modello di autorizzazione a doppio livello in cui sia le policy dei ruoli IAM che le configurazioni dei profili devono autorizzare l'accesso. Senza comprendere come interagiscono questi concetti, le implementazioni possono causare errori di autenticazione, accessi con privilegi eccessivi o lacune di sicurezza nella catena di convalida dei certificati. Questi concetti costituiscono la base tecnica necessaria per configurare correttamente le relazioni di fiducia, i limiti di autorizzazione e i cicli di vita delle credenziali nei sistemi di controllo degli accessi basati su certificati. AWS
Questa sezione contiene i seguenti argomenti:
Privilegio minimo
Il principio del privilegio minimo è un concetto di sicurezza che consiglia di concedere il livello minimo di accesso (o autorizzazioni) necessario agli utenti, ai programmi o ai sistemi per svolgere le proprie attività. La filosofia guida è semplice: minore è il numero di autorizzazioni di cui dispone un'entità, minore è il rischio di danni dolosi o accidentali.
Nel contesto di AWS, questo principio è particolarmente rilevante. AWS fornisce un'ampia gamma di risorse e servizi, dalle macchine virtuali alle risorse di archiviazione. Durante la creazione e la gestione AWS dell'infrastruttura, l'applicazione del principio del privilegio minimo assicura che ogni entità (un utente, un servizio o un'applicazione) disponga solo delle autorizzazioni necessarie per funzionare correttamente e nient'altro.
L'implementazione del privilegio minimo in AWS offre i seguenti vantaggi:
-
Sicurezza: limitando l'accesso, riduci il potenziale impatto di una violazione della sicurezza. Se un utente o un servizio dispone di autorizzazioni minime, la portata del danno si riduce notevolmente.
-
Conformità: molti quadri normativi richiedono controlli di accesso rigorosi. Il rispetto del principio del privilegio minimo aiuta a soddisfare questi requisiti di conformità.
-
Semplicità operativa: la gestione delle autorizzazioni può diventare complessa. L'applicazione del privilegio minimo può mantenere le configurazioni il più semplici e gestibili possibile.
Autenticazione basata su certificati
L'autenticazione basata su certificati utilizza certificati digitali per verificare l'identità di un dispositivo, servizio o applicazione. I certificati X.509 contengono attributi che identificano l'entità e sono firmati da un'autorità di certificazione attendibile. Questo metodo di autenticazione elimina la necessità di credenziali statiche e fornisce un modo crittograficamente sicuro per stabilire la fiducia.
Mentre l'autenticazione basata sull'identità si basa su credenziali direttamente associate a un ruolo o utente IAM, l'autenticazione basata sui certificati utilizza i certificati X.509 per stabilire l'identità. L'autenticazione basata su certificati offre vantaggi negli ambienti ibridi in quanto offre un livello di sicurezza più elevato, una rotazione automatizzata delle credenziali e la capacità di codificare gli attributi che possono essere utilizzati per un controllo granulare degli accessi.
Ancoraggi di fiducia e modelli di fiducia
È possibile stabilire un rapporto di fiducia tra l'autorità di certificazione (CA) IAM Roles Anywhere e l'autorità di certificazione (CA) creando un ancoraggio di fiducia. Un trust anchor è un riferimento a una fonte CA esterna AWS Private CAo a una fonte CA esterna. I carichi di lavoro esterni vengono AWS autenticati con il trust anchor utilizzando certificati emessi dalla CA affidabile in cambio di credenziali temporanee. AWS Possono esserci più trust anchor in uno. Account AWS Per ulteriori informazioni, consulta il modello IAM Roles Anywhere di fiducia. Il modello di fiducia definisce il modo in cui i certificati vengono convalidati e quali attributi del certificato sono necessari per una corretta autenticazione.
Credenziali di sicurezza temporanee
Le credenziali di sicurezza temporanee forniscono un accesso limitato nel tempo alle AWS risorse, che in genere durano da pochi minuti a diverse ore. A differenza delle chiavi di accesso a lungo termine, queste credenziali scadono automaticamente. Ciò riduce significativamente il rischio di compromissione delle credenziali e semplifica la gestione degli accessi tra sistemi distribuiti. Per ulteriori informazioni sulle credenziali temporanee, consulta la sezione Richiedere ai carichi di lavoro di utilizzare credenziali temporanee con ruoli IAM per accedere alle AWS best practice nella documentazione IAM.
Autorizzazioni a doppio livello in IAM
IAM Roles Anywhere implementa un modello di autorizzazione a doppio livello attraverso la combinazione di ruoli e profili IAM. In un profilo, puoi definire policy di sessione IAM che limitano le autorizzazioni create per una sessione. Un profilo può avere molti ruoli IAM ma solo una policy di sessione. Il modello di autorizzazione a doppio livello offre una maggiore sicurezza richiedendo che le autorizzazioni siano esplicitamente consentite su entrambi i livelli prima di concedere l'accesso. Di seguito sono riportati i due livelli:
-
Il livello IAM roles definisce quanto segue:
-
Politiche di fiducia che determinano quale entità può assumere il ruolo
-
Politiche di autorizzazione che specificano a quali AWS risorse il ruolo può accedere e quali azioni può eseguire
-
Elementi condizionali che possono limitare ulteriormente l'accesso in base a criteri specifici
-
-
Il livello IAM Roles Anywhere dei profili esegue le seguenti operazioni:
-
Definisce quali ruoli IAM possono essere assunti tramite IAM Roles Anywhere
-
Fornisce controlli aggiuntivi per l'assunzione dei ruoli
-
Funge da filtro di autorizzazione, anche se il ruolo IAM stesso consente un accesso più ampio
-
Ad esempio, se un ruolo IAM consente l'accesso ad Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB ma il profilo consente solo l'accesso ad Amazon S3, l'applicazione può accedere solo alle risorse Amazon S3. Questo approccio a due livelli applica il principio del privilegio minimo richiedendo un'autorizzazione esplicita in entrambi i livelli.
AWS Aiutante per le credenziali
Utilizzando Credential Helper
./aws_signing_helper credential-process \--certificate <Path to certificate> \--private-key <Path to private key> \--trust-anchor-arn <Trust anchor ARN> \--profile-arn <Profile 1 ARN> \--role-arn <Role 1 ARN>
Questo strumento è compatibile con la credential_process funzionalità disponibile in tutta la lingua. SDKs Se utilizzate con un AWS SDK, queste credenziali si aggiornano automaticamente prima della scadenza, senza richiedere alcuna implementazione aggiuntiva per il rinnovo delle credenziali. Credential Helper gestisce il processo di creazione di una firma con il certificato e di chiamata all'endpoint per ottenere le credenziali di sessione. Quindi, restituisce le credenziali di sicurezza temporanee al processo di chiamata in un formato JSON standard.
Per ulteriori informazioni, consulta Ottenere credenziali di sicurezza temporanee da. IAM Roles Anywhere
