Utilizzo di AWS Organizations per la sicurezza - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di AWS Organizations per la sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

AWS Organizations ti aiuta a gestire e governare centralmente il tuo ambiente man mano che cresci e ridimensioni le tue risorse AWS. Utilizzando AWS Organizations, puoi creare in modo programmatico nuovi account AWS, allocare risorse, raggruppare account per organizzare i carichi di lavoro e applicare policy ad account o gruppi di account per la governance. Un'organizzazione AWS consolida i tuoi account AWS in modo da poterli amministrare come una singola unità. Ha un account di gestione oltre a zero o più account membri. La maggior parte dei carichi di lavoro risiede negli account dei membri, ad eccezione di alcuni processi gestiti centralmente che devono risiedere nell'account di gestione o negli account assegnati come amministratori delegati per servizi AWS specifici. Puoi fornire strumenti e accesso da una posizione centrale al tuo team di sicurezza per gestire le esigenze di sicurezza per conto di un'organizzazione AWS. Puoi ridurre la duplicazione delle risorse condividendo risorse critiche all'interno della tua organizzazione AWS. Puoi raggruppare gli account in unità organizzative AWS (OUs), che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro. AWS Organizations fornisce anche diverse policy che consentono di applicare centralmente controlli di sicurezza aggiuntivi a tutti gli account dei membri delle organizzazioni. Questa sezione si concentra sulle politiche di controllo dei servizi (SCPs), sulle politiche di controllo delle risorse (RCPs) e sulle politiche dichiarative.

Con AWS Organizations, puoi utilizzare SCPse RCPsapplicare barriere di autorizzazione a livello di organizzazione, unità organizzativa o account AWS. SCPs sono guardrail che si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un SCP a un'unità organizzativa, l'SCP viene ereditato dal figlio e dagli account relativi a tale unità organizzativa. OUs SCPs non concedete alcuna autorizzazione. Al contrario, specificano le autorizzazioni massime per un'organizzazione, un'unità organizzativa o un account AWS. Devi comunque allegare policy basate sull'identità o sulle risorse ai principali o alle risorse dei tuoi account AWS per concedere loro effettivamente le autorizzazioni. Ad esempio, se un SCP nega l'accesso a tutto Amazon S3, un principale interessato dall'SCP non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy IAM. Per ulteriori informazioni su come vengono valutate le politiche IAM, sul ruolo e su come l'accesso viene infine concesso o negato SCPs, consulta la logica di valutazione delle politiche nella documentazione IAM.

RCPs sono barriere che si applicano alle risorse all'interno degli account di un'organizzazione, indipendentemente dal fatto che le risorse appartengano alla stessa organizzazione. Ad esempio SCPs, RCPs non influiscono sulle risorse dell'account di gestione e non concedono alcuna autorizzazione. Quando si collega un RCP a un'unità organizzativa, l'RCP viene ereditato dal figlio OUs e dagli account dell'unità organizzativa. RCPs forniscono il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione e attualmente supportano un sottoinsieme di servizi AWS. Quando progetti SCPs per te OUs, ti consigliamo di valutare le modifiche utilizzando il simulatore di policy IAM. Dovresti anche esaminare i dati dell'ultimo accesso al servizio in IAM e utilizzare AWS CloudTrail per registrare l'utilizzo del servizio a livello di API per comprendere il potenziale impatto delle modifiche SCP.

SCPs e RCPs sono controlli indipendenti. Puoi scegliere di abilitare solo SCPs o RCPs utilizzare entrambi i tipi di policy insieme in base ai controlli di accesso che desideri applicare. Ad esempio, se si desidera impedire ai responsabili dell'organizzazione di accedere a risorse esterne all'organizzazione, è possibile applicare questo controllo utilizzando. SCPs Se desideri limitare o impedire alle identità esterne di accedere alle tue risorse, imponi questo controllo utilizzando. RCPs Per ulteriori informazioni e casi d'uso per RCPs e SCPs, consulta Using SCPs and RCPs nella documentazione di AWS Organizations.

Puoi utilizzare le policy dichiarative di AWS Organizations per dichiarare e applicare centralmente la configurazione desiderata per un determinato servizio AWS su larga scala in tutta l'organizzazione. Ad esempio, puoi bloccare l'accesso pubblico a Internet alle risorse Amazon VPC in tutta l'organizzazione. A differenza delle policy di autorizzazione come SCPs and RCPs, le policy dichiarative vengono applicate nel piano di controllo di un servizio AWS. Le politiche di autorizzazione regolano l'accesso APIs, mentre le politiche dichiarative vengono applicate direttamente a livello di servizio per imporre intenti duraturi. Queste policy aiutano a garantire che la configurazione di base per un servizio AWS sia sempre mantenuta, anche quando il servizio introduce nuove funzionalità o. APIs La configurazione di base viene mantenuta anche quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse. Le politiche dichiarative possono essere applicate a un'intera organizzazione o a specifici OUs account.

Ogni account AWS ha un singolo utente root che dispone di autorizzazioni complete per tutte le risorse AWS per impostazione predefinita.  Come best practice di sicurezza, ti consigliamo di non utilizzare l'utente root tranne per alcune attività che richiedono esplicitamente un utente root. Se gestisci più account AWS tramite AWS Organizations, puoi disabilitare centralmente l'accesso root e quindi eseguire azioni con privilegi root per conto di tutti gli account membri. Dopo aver gestito centralmente l'accesso root per gli account dei membri, puoi eliminare la password dell'utente root, le chiavi di accesso e i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per gli account membro. Per impostazione predefinita, i nuovi account creati con accesso root gestito centralmente non hanno credenziali utente root. Gli account membro non possono accedere con il proprio utente root o eseguire il recupero della password per il proprio utente root.

AWS Control Tower offre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account nella tua organizzazione AWS, automatizza il provisioning, applica i guardrail (che includono controlli preventivi e investigativi) e ti fornisce una dashboard per la visibilità. Un'ulteriore policy di gestione IAM, un limite di autorizzazioni, è associata a entità IAM specifiche (utenti o ruoli) e imposta le autorizzazioni massime che una policy basata sull'identità può concedere a un'entità IAM.

AWS Organizations ti aiuta a configurare i servizi AWS che si applicano a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite nella tua organizzazione AWS utilizzando AWS CloudTrail e impedire agli account dei membri di disabilitare la registrazione. Puoi anche aggregare centralmente i dati per le regole che hai definito utilizzando AWS Config, in modo da controllare la conformità dei carichi di lavoro e reagire rapidamente ai cambiamenti. Puoi usare AWS CloudFormation StackSets per gestire centralmente gli CloudFormation stack AWS tra gli account e OUs nella tua organizzazione AWS, in modo da poter fornire automaticamente un nuovo account per soddisfare i tuoi requisiti di sicurezza.

La configurazione predefinita di AWS Organizations supporta l'utilizzo SCPs come liste di rifiuto. Utilizzando una strategia di deny list, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega un SCP che neghi un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando AWS aggiunge nuovi servizi. Le dichiarazioni di deny sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per. SCPs In un'istruzione in cui l'Effect elemento ha un valore diDeny, è inoltre possibile limitare l'accesso a risorse specifiche o definire le condizioni relative all'entrata SCPs in vigore. Al contrario, un'istruzione Allow in un SCP si applica a tutte le risorse ("*") e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, consulta Strategy for using SCPs nella documentazione di AWS Organizations.

Considerazioni di natura progettuale

  • In alternativa, per utilizzarlo SCPs come elenco consentito, devi sostituire l'FullAWSAccessSCP gestito da AWS con un SCP che consenta esplicitamente solo i servizi e le azioni che desideri consentire. Affinché un'autorizzazione sia abilitata per un account specifico, ogni SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e persino collegato all'account stesso) deve consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede di consentire esplicitamente ogni servizio o azione IAM nel percorso dall'account AWS all'unità organizzativa.

  • Idealmente, dovresti usare una combinazione di strategie di lista di rifiuto e lista di indirizzi consentiti. Utilizza l'elenco dei servizi AWS consentiti per definire l'elenco dei servizi AWS consentiti approvati per l'uso all'interno di un'organizzazione AWS e collega questo SCP alla radice della tua organizzazione AWS. Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, devi collegare il rispettivo SCPs a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di negazione per definire i guardrail aziendali negando esplicitamente azioni IAM specifiche.

  • RCPs si applicano alle risorse per un sottoinsieme di servizi AWS. Per ulteriori informazioni, consulta Elenco dei servizi AWS supportati RCPs nella documentazione di AWS Organizations. La configurazione predefinita di AWS Organizations supporta l'utilizzo RCPs come liste di rifiuto. Quando abiliti RCPs nella tua organizzazione, una policy gestita da AWS chiamata RCPFullAWSAccess viene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione. Non è possibile scollegare questa policy. Questo RCP predefinito consente l'accesso a tutti i principali e alle azioni tramite la valutazione RCP. Ciò significa che finché non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continueranno a funzionare come prima. Questa policy gestita da AWS non concede l'accesso. Puoi quindi creare un nuovo RCPs elenco di dichiarazioni di rifiuto per bloccare l'accesso alle risorse della tua organizzazione.