Account di gestione dell'organizzazione - AWS Guida prescrittiva
Policy di controllo dei serviziPolitiche di controllo delle risorsePolicy dichiarativeAccesso root centralizzatoCentro identità IAMConsulente di accesso IAMAWS Systems ManagerAWS Control TowerAWS ArtifactGuardrail dei servizi di sicurezza distribuiti e centralizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account di gestione dell'organizzazione

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS configurati nell'account Org Management.

Servizi di sicurezza per l'account Org Management

Le sezioni Using AWS Organizations for security e L'account di gestione, l'accesso affidabile e gli amministratori delegati precedenti di questa guida hanno discusso in modo approfondito lo scopo e gli obiettivi di sicurezza dell'account di gestione dell'organizzazione. Segui le migliori pratiche di sicurezza per il tuo account di gestione dell'organizzazione. Questi includono l'utilizzo di un indirizzo e-mail gestito dalla tua azienda, il mantenimento delle corrette informazioni di contatto amministrative e di sicurezza (ad esempio allegando un numero di telefono all'account nel caso in cui AWS debba contattare il proprietario dell'account), l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti e la verifica regolare di chi ha accesso all'account di gestione dell'organizzazione. I servizi distribuiti nell'account di gestione dell'organizzazione devono essere configurati con ruoli, politiche di attendibilità e altre autorizzazioni appropriati in modo che gli amministratori di tali servizi (che devono accedervi nell'account di gestione dell'organizzazione) non possano accedere in modo inappropriato anche ad altri servizi.

Policy di controllo dei servizi

Con AWS Organizations, puoi gestire centralmente le policy su più account AWS. Ad esempio, puoi applicare le policy di controllo del servizio (SCPs) su più account AWS membri di un'organizzazione. SCPs ti consentono di definire quali servizi AWS APIs possono e non possono essere eseguiti da entità AWS Identity and Access Management (IAM) (come utenti e ruoli IAM) negli account AWS membri della tua organizzazione. SCPs vengono creati e applicati dall'account di gestione dell'organizzazione, che è l'account AWS che hai usato quando hai creato l'organizzazione. Per saperne di SCPs più, consulta la sezione Using AWS Organizations for security precedente in questo riferimento. 

Se utilizzi AWS Control Tower per gestire la tua organizzazione AWS, questa implementerà una serie di barriere preventive (classificate SCPs come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi utilizzano SCPs automaticamente un tag con un valore di aws-control-tower. managed-by-control-tower 

Considerazione di natura progettuale

  • SCPs riguardano solo gli account dei membri dell'organizzazione AWS. Sebbene vengano applicati dall'account Org Management, non hanno alcun effetto sugli utenti o sui ruoli di quell'account. Per scoprire come funziona la logica di valutazione SCP e per vedere esempi di strutture consigliate, consulta il post del blog AWS How to Use Service Control Policies in AWS Organizations.

Politiche di controllo delle risorse

Le politiche di controllo delle risorse (RCPs) offrono un controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione. Un RCP definisce una barriera di autorizzazioni o impone limiti alle azioni che le identità possono intraprendere sulle risorse dell'organizzazione. Puoi usarlo RCPs per limitare chi può accedere alle tue risorse e imporre requisiti su come è possibile accedere alle risorse negli account AWS membri della tua organizzazione. Puoi collegarti RCPs direttamente ai singoli account o alla OUs cartella principale dell'organizzazione. Per una spiegazione dettagliata del RCPs funzionamento, consulta la valutazione RCP nella documentazione di AWS Organizations. Per saperne di RCPs più, consulta la sezione Using AWS Organizations for security precedente in questo riferimento.

Se utilizzi AWS Control Tower per gestire la tua organizzazione AWS, questa implementerà una serie di barriere preventive (classificate RCPs come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi utilizzano SCPs automaticamente un tag con un valore diaws-control-tower. managed-by-control-tower

Considerazioni di natura progettuale

  • RCPs influiscono solo sulle risorse degli account dei membri dell'organizzazione. Non hanno alcun effetto sulle risorse dell'account di gestione. Ciò significa che RCPs si applicano anche agli account dei membri designati come amministratori delegati.

  • RCPs si applicano alle risorse per un sottoinsieme di servizi AWS. Per ulteriori informazioni, consulta Elenco dei servizi AWS supportati RCPs nella documentazione di AWS Organizations. Puoi utilizzare le funzioni AWS Config Rules e AWS Lambda per monitorare e automatizzare l'applicazione dei controlli di sicurezza su risorse che attualmente non sono supportate da. RCPs

Policy dichiarative

Una policy dichiarativa è un tipo di policy di gestione di AWS Organizations che ti aiuta a dichiarare e applicare centralmente la configurazione desiderata per un determinato servizio AWS su larga scala all'interno di un'organizzazione. Le politiche dichiarative attualmente supportano i servizi Amazon Elastic Compute Cloud EC2 (Amazon), Amazon Virtual Private Cloud (Amazon VPC) e Amazon Elastic Block Store (Amazon EBS). Gli attributi del servizio disponibili includono l'applicazione del servizio di metadati di istanza versione 2 (IMDSv2), la risoluzione dei problemi tramite la console EC2 seriale, l'autorizzazione delle impostazioni di Amazon Machine Image (AMI) e il blocco dell'accesso pubblico per le istantanee di Amazon EBS, le risorse Amazon EC2 AMIs e Amazon VPC. Per i servizi e gli attributi supportati più recenti, consulta le politiche dichiarative nella documentazione di AWS Organizations.

Puoi applicare la configurazione di base per un servizio AWS effettuando alcune selezioni sulle console AWS Organizations e AWS Control Tower o utilizzando alcuni comandi AWS Command Line Interface (AWS CLI) e AWS SDK. Le policy dichiarative vengono applicate nel piano di controllo del servizio, il che significa che la configurazione di base per un servizio AWS viene sempre mantenuta, anche quando il servizio introduce nuove funzionalità o APIs quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse. Le politiche dichiarative possono essere applicate a un'intera organizzazione o a specifici account. OUs La politica efficace è l'insieme di regole ereditate dalla radice dell'organizzazione e OUs insieme alle politiche direttamente collegate all'account. Se una politica dichiarativa viene scollegata, lo stato dell'attributo tornerà allo stato precedente all'allegato della politica dichiarativa.

È possibile utilizzare politiche dichiarative per creare messaggi di errore personalizzati. Ad esempio, se un'operazione API fallisce a causa di una politica dichiarativa, è possibile impostare il messaggio di errore o fornire un URL personalizzato, ad esempio un collegamento a un wiki interno o un collegamento a un messaggio che descrive l'errore. Questo aiuta a fornire agli utenti ulteriori informazioni in modo che possano risolvere il problema da soli. Puoi anche controllare il processo di creazione di policy dichiarative, aggiornamento di policy dichiarative ed eliminazione di policy dichiarative utilizzando AWS. CloudTrail

Le politiche dichiarative forniscono report sullo stato degli account, che consentono di esaminare lo stato attuale di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. È possibile scegliere gli account e OUs includerli nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice. Questo report ti aiuta a valutare la preparazione fornendo una suddivisione per regione AWS e specificando se lo stato corrente di un attributo è uniforme tra gli account (attraverso il numberOfMatchedAccounts valore) o incoerente tra gli account (tramite il valore). numberOfUnmatchedAccounts

Considerazione di natura progettuale

  • Quando configuri un attributo di servizio utilizzando una policy dichiarativa, la policy potrebbe avere un impatto su più fattori. APIs Qualsiasi azione non conforme fallirà. Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.

Accesso root centralizzato

Tutti gli account membro in AWS Organizations hanno il proprio utente root, ovvero un'identità che ha accesso completo a tutti i servizi e le risorse AWS in quell'account membro. IAM fornisce una gestione centralizzata degli accessi root per gestire l'accesso root su tutti gli account dei membri. Questo aiuta a prevenire l'utilizzo da parte degli utenti root membri e aiuta a fornire il ripristino su larga scala. La funzionalità di accesso root centralizzato ha due funzionalità essenziali: la gestione delle credenziali root e le sessioni root.

  • La funzionalità di gestione delle credenziali root consente la gestione centralizzata e aiuta a proteggere l'utente root su tutti gli account di gestione. Questa funzionalità include la rimozione delle credenziali root a lungo termine, la prevenzione del recupero delle credenziali root da parte degli account dei membri e il provisioning di nuovi account membro senza credenziali root per impostazione predefinita. Fornisce inoltre un modo semplice per dimostrare la conformità. Quando la gestione degli utenti root è centralizzata, è possibile rimuovere le password degli utenti root, le chiavi di accesso e i certificati di firma e disattivare l'autenticazione a più fattori (MFA) da tutti gli account membri.

  • La funzionalità delle sessioni root consente di eseguire azioni utente root privilegiate utilizzando credenziali a breve termine sugli account dei membri provenienti dall'account di gestione dell'organizzazione o dagli account amministratore delegati. Questa funzionalità consente di abilitare l'accesso root a breve termine limitato a azioni specifiche, in conformità al principio del privilegio minimo.

Per la gestione centralizzata delle credenziali root, è necessario abilitare le funzionalità di gestione delle credenziali root e delle sessioni root a livello di organizzazione dall'account di gestione dell'organizzazione o in un account amministratore delegato. Seguendo le best practice di AWS SRA, deleghiamo questa funzionalità all'account Security Tooling. Per informazioni sulla configurazione e l'utilizzo dell'accesso centralizzato degli utenti root, consulta il post del blog di AWS Security, Gestione centralizzata dell'accesso root per i clienti che utilizzano AWS Organizations.

Centro identità IAM

AWS IAM Identity Center (successore di AWS Single Sign-On) è un servizio di federazione delle identità che ti aiuta a gestire centralmente l'accesso SSO a tutti i tuoi account, principali e carichi di lavoro cloud AWS. IAM Identity Center ti aiuta anche a gestire l'accesso e le autorizzazioni alle applicazioni SaaS (Software as a Service) di terze parti di uso comune. I provider di identità si integrano con IAM Identity Center utilizzando SAML 2.0. Il bulk e il just-in-time provisioning possono essere eseguiti utilizzando il System for Cross-Domain Identity Management (SCIM). IAM Identity Center può anche integrarsi con domini Microsoft Active Directory (AD) locali o gestiti da AWS come provider di identità tramite l'uso di AWS Directory Service. IAM Identity Center include un portale utenti in cui gli utenti finali possono trovare e accedere agli account AWS, ai ruoli, alle applicazioni cloud e alle applicazioni personalizzate assegnati in un unico posto.

IAM Identity Center si integra nativamente con AWS Organizations e viene eseguito nell'account Org Management per impostazione predefinita. Tuttavia, per esercitare il minimo privilegio e controllare rigorosamente l'accesso all'account di gestione, l'amministrazione di IAM Identity Center può essere delegata a un account membro specifico. In AWS SRA, l'account Shared Services è l'account amministratore delegato per IAM Identity Center. Prima di abilitare l'amministrazione delegata per IAM Identity Center, esamina queste considerazioni. Ulteriori informazioni sulla delega sono disponibili nella sezione relativa all'account di Shared Services. Anche dopo aver abilitato la delega, IAM Identity Center deve comunque essere eseguito nell'account di gestione dell'organizzazione per eseguire determinate attività relative a IAM Identity Center, tra cui la gestione dei set di autorizzazioni forniti nell'account di gestione dell'organizzazione. 

All'interno della console IAM Identity Center, gli account vengono visualizzati in base all'unità organizzativa incapsulata. Ciò ti consente di scoprire rapidamente i tuoi account AWS, applicare set di autorizzazioni comuni e gestire l'accesso da una posizione centrale. 

IAM Identity Center include un archivio di identità in cui devono essere archiviate informazioni utente specifiche. Tuttavia, IAM Identity Center non deve essere la fonte autorevole per le informazioni sulla forza lavoro. Nei casi in cui l'azienda dispone già di una fonte autorevole, IAM Identity Center supporta i seguenti tipi di provider di identità (). IdPs

  • IAM Identity Center Identity Store: scegli questa opzione se le seguenti due opzioni non sono disponibili. Gli utenti vengono creati, le assegnazioni ai gruppi e le autorizzazioni vengono assegnate nell'archivio di identità. Anche se la fonte autorevole è esterna a IAM Identity Center, una copia degli attributi principali verrà archiviata nell'archivio di identità.

  • Microsoft Active Directory (AD): scegli questa opzione se desideri continuare a gestire gli utenti nella tua directory in AWS Directory Service per Microsoft Active Directory o nella directory autogestita in Active Directory.

  • Provider di identità esterno: scegli questa opzione se preferisci gestire gli utenti in un IdP esterno di terze parti basato su SAML.

Puoi fare affidamento su un IdP esistente già presente all'interno della tua azienda. Ciò semplifica la gestione dell'accesso su più applicazioni e servizi, poiché l'accesso viene creato, gestito e revocato da un'unica posizione. Ad esempio, se qualcuno lascia il tuo team, puoi revocare il suo accesso a tutte le applicazioni e i servizi (inclusi gli account AWS) da un'unica posizione. Ciò riduce la necessità di più credenziali e ti offre l'opportunità di integrarti con i tuoi processi relativi alle risorse umane (HR).

Considerazione di natura progettuale

  • Utilizza un IdP esterno se tale opzione è disponibile per la tua azienda. Se il tuo IdP supporta System for Cross-Domain Identity Management (SCIM), sfrutta la funzionalità SCIM di IAM Identity Center per automatizzare il provisioning (sincronizzazione) di utenti, gruppi e autorizzazioni. Ciò consente ad AWS Access di rimanere sincronizzato con il flusso di lavoro aziendale per i nuovi assunti, i dipendenti che si trasferiscono in un altro team e i dipendenti che stanno lasciando l'azienda. In qualsiasi momento, puoi avere solo una directory o un provider di identità SAML 2.0 connesso a IAM Identity Center. Tuttavia, puoi passare a un altro provider di identità.

Consulente di accesso IAM

IAM access advisor fornisce dati di tracciabilità sotto forma di informazioni sull'ultimo accesso al servizio per i tuoi account AWS e. OUs Usa questo controllo investigativo per contribuire a una strategia con privilegi minimi. Per le entità IAM, puoi visualizzare due tipi di informazioni sull'ultimo accesso: informazioni sui servizi AWS consentiti e informazioni sulle azioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo. 

L'accesso IAM all'interno dell'account Org Management ti consente di visualizzare i dati dell'ultimo accesso al servizio per l'account Org Management, l'unità organizzativa, l'account membro o la policy IAM nella tua organizzazione AWS. Queste informazioni sono disponibili nella console IAM all'interno dell'account di gestione e possono anche essere ottenute a livello di codice utilizzando IAM access advisor in AWS Command Line Interface ( APIs AWS CLI) o un client programmatico. Le informazioni indicano quali entità di un'organizzazione o di un account hanno tentato l'ultimo accesso al servizio e quando. Le ultime informazioni a cui si accede forniscono informazioni sull'utilizzo effettivo del servizio (vedi scenari di esempio), in modo da poter ridurre le autorizzazioni IAM solo ai servizi effettivamente utilizzati.

AWS Systems Manager

Quick Setup ed Explorer, che sono funzionalità di AWS Systems Manager, supportano entrambi AWS Organizations e operano dall'account Org Management. 

Quick Setup è una funzionalità di automazione di Systems Manager. Consente all'account Org Management di definire facilmente le configurazioni in modo che Systems Manager interagisca per tuo conto tra gli account della tua organizzazione AWS. Puoi abilitare Quick Setup nell'intera organizzazione AWS o scegliere opzioni specifiche OUs. Quick Setup può pianificare AWS Systems Manager Agent (SSM Agent) per eseguire aggiornamenti bisettimanali sulle EC2 istanze e può impostare una scansione giornaliera di tali istanze per identificare le patch mancanti. 

Explorer è una dashboard operativa personalizzabile che riporta informazioni sulle tue risorse AWS. Explorer mostra una vista aggregata dei dati operativi per i tuoi account AWS e tra le regioni AWS. Ciò include i dati sulle EC2 istanze e i dettagli sulla conformità delle patch. Dopo aver completato l'Integrated Setup (che include anche Systems Manager OpsCenter) in AWS Organizations, puoi aggregare i dati in Explorer per unità organizzativa o per un'intera organizzazione AWS. Systems Manager aggrega i dati nell'account AWS Org Management prima di visualizzarli in Explorer.

La sezione Workloads OU più avanti in questa guida illustra l'uso di Systems Manager Agent (SSM Agent) sulle EC2 istanze nell'account dell'applicazione.

AWS Control Tower

AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS sicuro e multi-account, chiamato landing zone. AWS Control Tower crea la landing zone utilizzando AWS Organizations e fornisce gestione e governance degli account continue, nonché best practice di implementazione. Puoi utilizzare AWS Control Tower per effettuare il provisioning di nuovi account in pochi passaggi, assicurando al contempo che gli account siano conformi alle politiche organizzative. Puoi persino aggiungere account esistenti a un nuovo ambiente AWS Control Tower. 

AWS Control Tower offre un set di funzionalità ampio e flessibile. Una caratteristica fondamentale è la sua capacità di orchestrare le funzionalità di diversi altri servizi AWS, tra cui AWS Organizations, AWS Service Catalog e IAM Identity Center, per creare una landing zone. Ad esempio, per impostazione predefinita AWS Control Tower utilizza AWS CloudFormation per stabilire una linea di base, AWS Organizations service control policy (SCPs) per prevenire modifiche alla configurazione e regole AWS Config per rilevare continuamente le non conformità. AWS Control Tower utilizza blueprint che ti aiutano ad allineare rapidamente il tuo ambiente AWS multi-account ai principi di progettazione delle basi di sicurezza di AWS Well Architected. Tra le funzionalità di governance, AWS Control Tower offre barriere che impediscono la distribuzione di risorse non conformi a policy selezionate. 

Puoi iniziare a implementare le linee guida AWS SRA con AWS Control Tower. Ad esempio, AWS Control Tower stabilisce un'organizzazione AWS con l'architettura multi-account consigliata. Fornisce progetti per fornire la gestione delle identità, fornire l'accesso federato agli account, centralizzare la registrazione, stabilire controlli di sicurezza su più account, definire un flusso di lavoro per il provisioning di nuovi account e implementare le linee di base degli account con le configurazioni di rete. 

In AWS SRA, AWS Control Tower si trova all'interno dell'account Org Management perché AWS Control Tower utilizza questo account per configurare automaticamente un'organizzazione AWS e designa tale account come account di gestione. Questo account viene utilizzato per la fatturazione all'interno della tua organizzazione AWS. Viene anche utilizzato per la fornitura di account da parte di Account Factory, per gestire OUs e gestire i guardrail. Se stai lanciando AWS Control Tower in un'organizzazione AWS esistente, puoi utilizzare l'account di gestione esistente. AWS Control Tower utilizzerà quell'account come account di gestione designato.

Considerazione di natura progettuale

  • Se desideri eseguire ulteriori linee di base di controlli e configurazioni tra i tuoi account, puoi utilizzare Customizations for AWS Control Tower (cFCT). Con cFct, puoi personalizzare la tua landing zone di AWS Control Tower utilizzando un CloudFormation modello AWS e policy di controllo dei servizi (SCPs). Puoi distribuire il modello e le policy personalizzati su singoli account e OUs all'interno della tua organizzazione. cFct si integra con gli eventi del ciclo di vita di AWS Control Tower per garantire che le distribuzioni delle risorse rimangano sincronizzate con la landing zone. 

AWS Artifact

AWS Artifact fornisce accesso su richiesta ai report di sicurezza e conformità di AWS e ad accordi online selezionati. I report disponibili in AWS Artifact includono report SOC (System and Organization Controls), report Payment Card Industry (PCI) e certificazioni di organismi di accreditamento di diverse aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza AWS. AWS Artifact ti aiuta a eseguire la due diligence di AWS con una maggiore trasparenza nel nostro ambiente di controllo della sicurezza. Inoltre, consente di monitorare continuamente la sicurezza e la conformità di AWS con accesso immediato a nuovi report. 

AWS Artifact Agreements ti consente di esaminare, accettare e monitorare lo stato degli accordi AWS come il Business Associate Addendum (BAA) per un account individuale e per gli account che fanno parte della tua organizzazione in AWS Organizations. 

Puoi fornire gli artefatti di audit di AWS ai tuoi revisori o autorità di regolamentazione come prova dei controlli di sicurezza di AWS. Puoi anche utilizzare le linee guida sulla responsabilità fornite da alcuni degli artefatti di audit di AWS per progettare la tua architettura cloud. Questa guida aiuta a determinare i controlli di sicurezza aggiuntivi che puoi mettere in atto per supportare i casi d'uso specifici del tuo sistema. 

AWS Artifacts è ospitato nell'account Org Management per fornire una posizione centrale in cui è possibile rivedere, accettare e gestire gli accordi con AWS. Questo perché gli accordi accettati nell'account di gestione confluiscono negli account dei membri. 

Considerazione di natura progettuale

  • Gli utenti all'interno dell'account Org Management devono essere limitati a utilizzare solo la funzionalità Agreements di AWS Artifact e nient'altro. Per implementare la separazione delle mansioni, AWS Artifact è anche ospitato nell'account Security Tooling, dove puoi delegare le autorizzazioni alle parti interessate alla conformità e ai revisori esterni per accedere agli artefatti di audit. Puoi implementare questa separazione definendo politiche di autorizzazione IAM granulari. Per esempi, consulta Esempi di politiche IAM nella documentazione AWS.

Guardrail dei servizi di sicurezza distribuiti e centralizzati

In AWS SRA, AWS Security Hub CSPM, Amazon, AWS GuardDuty Config, IAM Access Analyzer, gli itinerari CloudTrail organizzativi AWS e spesso Amazon Macie vengono distribuiti con un'amministrazione delegata o un'aggregazione appropriata all'account Security Tooling. Ciò consente una serie coerente di barriere tra gli account e fornisce anche monitoraggio, gestione e governance centralizzati in tutta l'organizzazione AWS. Troverai questo gruppo di servizi in ogni tipo di account rappresentato nell'AWS SRA. Questi dovrebbero far parte dei servizi AWS che devono essere forniti come parte del processo di onboarding e baselining dell'account. Il GitHubcode repository fornisce un esempio di implementazione dei servizi AWS incentrati sulla sicurezza nei tuoi account, incluso l'account AWS Org Management. 

Oltre a questi servizi, AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano l'integrazione e la funzionalità di amministratore delegato in AWS Organizations. Tuttavia, questi non sono inclusi tra i servizi consigliati per il baselining degli account. Abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:

  • Disponi di un team o di un gruppo di risorse dedicato che svolgono tali funzioni di analisi forense digitale e audit IT. Amazon Detective viene utilizzato al meglio dai team di analisti della sicurezza e AWS Audit Manager è utile per i team di audit o conformità interni.

  • Desideri concentrarti su un set di strumenti di base come GuardDuty Security Hub CSPM all'inizio del progetto e poi sfruttarli utilizzando servizi che forniscono funzionalità aggiuntive.