Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tema 5: Stabilire un perimetro di dati
<a name="theme-5"></a>

**Otto strategie essenziali trattate**  
Limita i privilegi amministrativi

Un *perimetro di dati* è un insieme di barriere preventive nell' AWS ambiente che aiutano a garantire che solo le identità attendibili accedano alle risorse attendibili delle reti previste. Queste barriere fungono da confini sempre attivi che aiutano a proteggere i dati su un'ampia gamma di risorse. Account AWS Queste barriere a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Al contrario, aiutano a migliorare la strategia di sicurezza assicurandosi che tutti gli utenti, i ruoli e le risorse AWS Identity and Access Management (IAM) aderiscano a una serie di standard di sicurezza definiti.

È possibile stabilire un perimetro di dati utilizzando politiche che impediscono l'accesso dall'esterno dei confini dell'organizzazione, in genere create in. AWS Organizations Le tre condizioni di autorizzazione perimetrale principali utilizzate per stabilire un perimetro di dati sono:
+ **Identità affidabili**: responsabili (ruoli o utenti IAM) interni all'azienda o che agiscono per conto dell'utente Account AWS. Servizi AWS 
+ **Risorse affidabili**: risorse che appartengono a te Account AWS o gestite Servizi AWS agendo per tuo conto.
+ **Reti previste:** i data center locali e i cloud privati virtuali (VPCs) o le reti che Servizi AWS agiscono per conto dell'utente.

Prendi in considerazione l'implementazione di perimetri di dati tra ambienti con diverse classificazioni dei dati, ad esempio `OFFICIAL:SENSITIVE` o`PROTECTED`, o diversi livelli di rischio, come sviluppo, test o produzione. Per ulteriori informazioni, consulta [Costruire un perimetro di dati su AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS white paper) e [Stabilire un perimetro di dati](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/) su: Panoramica (post di blog). AWSAWS 

## Best practice correlate nel AWS Well-Architected Framework
<a name="theme-5-best-practices"></a>
+ [SEC03- BP05 Definisci i limiti di autorizzazione per la tua organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07- BP02 Applica controlli di protezione dei dati basati sulla sensibilità dei dati](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## Implementazione di questo tema
<a name="theme-5-implementation"></a>

### Implementare controlli di identità
<a name="t5-identity-controls"></a>
+ **Consenti solo alle identità attendibili di accedere alle tue risorse**: utilizza [politiche basate sulle risorse con le chiavi di](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) condizione e. `aws:PrincipalOrgID` `aws:PrincipalIsAWSService` Ciò consente solo ai dirigenti della tua AWS organizzazione e di accedere alle AWS tue risorse.
+ **Consenti identità affidabili solo dalla tua rete:** utilizza le policy degli [endpoint VPC con le chiavi](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di condizione e. `aws:PrincipalOrgID` `aws:PrincipalIsAWSService` Ciò consente solo ai responsabili della tua AWS organizzazione e di accedere AWS ai servizi tramite endpoint VPC.

### Implementa controlli sulle risorse
<a name="t5-resource-controls"></a>
+ **Consenti alle tue identità di accedere solo a risorse affidabili:** utilizza le [policy di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) con la chiave `aws:ResourceOrgID` di condizione. Ciò consente alle tue identità di accedere solo alle risorse della tua AWS organizzazione.
+ **Consenti l'accesso a risorse affidabili solo dalla tua rete**: utilizza le policy degli endpoint VPC con la chiave di condizione. `aws:ResourceOrgID` Ciò consente alle tue identità di accedere ai servizi solo tramite endpoint VPC che fanno parte della tua organizzazione. AWS 

### Implementa controlli di rete
<a name="t5-network-controls"></a>
+ **Consenti alle identità di accedere alle risorse solo dalle reti previste**: da utilizzare SCPs con le chiavi di condizione`aws:SourceIp`, `aws:SourceVpc``aws:SourceVpce`, e`aws:ViaAWSService`. Ciò consente alle identità di accedere alle risorse solo dagli indirizzi IP e dagli endpoint VPC previsti e tramite. VPCs Servizi AWS
+ **Consenti l'accesso alle tue risorse solo dalle reti previste**: utilizza politiche basate sulle risorse con le chiavi `aws:SourceIp` di condizione,,, e. `aws:SourceVpc` `aws:SourceVpce` `aws:ViaAWSService` `aws:PrincipalIsAWSService` Ciò consente l'accesso alle risorse solo dagli endpoint VPC previsti VPCs, previsti o previsti Servizi AWS, tramite o quando l'identità chiamante è una. IPs Servizio AWS

## Monitoraggio di questo tema
<a name="theme-5-monitoring"></a>

### Monitora le politiche
<a name="t5-monitor-policies"></a>
+ Implementa meccanismi di revisione SCPs delle policy IAM e delle policy degli endpoint VPC

### Implementa le seguenti regole AWS Config
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`