Utilizzo per motivi di sicurezza AWS Organizations - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo per motivi di sicurezza AWS Organizations

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

AWS Organizationsti aiuta a gestire e governare centralmente il tuo ambiente man mano che cresci e scalerai le tue AWS risorse. In questo modo AWS Organizations, puoi crearne di nuovi Account AWS, allocare risorse, raggruppare account per organizzare i carichi di lavoro in modo programmatico e applicare politiche ad account o gruppi di account per la governance. Un' AWS organizzazione consolida i tuoi dati Account AWS in modo da poterli amministrare come un'unica unità. Ha un account di gestione oltre a zero o più account membri. La maggior parte dei carichi di lavoro risiede negli account dei membri, ad eccezione di alcuni processi gestiti centralmente che devono risiedere nell'account di gestione o negli account assegnati come amministratori delegati, in alcuni casi. Servizi AWS Puoi fornire strumenti e accesso da una posizione centrale al tuo team di sicurezza per gestire le esigenze di sicurezza per conto di un'organizzazione. AWS È possibile ridurre la duplicazione delle risorse condividendo le risorse critiche all'interno AWS dell'organizzazione. Puoi raggruppare gli account in unità AWS organizzative (OUs), che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro. AWS Organizations fornisce inoltre diverse politiche che consentono di applicare centralmente controlli di sicurezza aggiuntivi a tutti gli account membri delle organizzazioni. Questa sezione si concentra sulle politiche di controllo dei servizi (SCPs), sulle politiche di controllo delle risorse (RCPs) e sulle politiche dichiarative.

Con AWS Organizations, è possibile utilizzare SCPse RCPsapplicare barriere di autorizzazione a livello di AWS organizzazione, unità organizzativa o account. SCPs sono barriere che si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un SCP a un'unità organizzativa, l'SCP viene ereditato dal figlio e dagli account relativi a tale unità organizzativa. OUs SCPs non concedete alcuna autorizzazione. Al contrario, specificano le autorizzazioni massime disponibili per i responsabili di un' AWS organizzazione, un'unità organizzativa o un account. È comunque necessario allegare politiche basate sull'identità o sulle risorse ai responsabili o alle risorse dell'azienda per concedere loro effettivamente le autorizzazioni. Account AWS Ad esempio, se un SCP nega l'accesso a tutto Amazon S3, un principale interessato dall'SCP non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy IAM. Per ulteriori informazioni su come vengono valutate le politiche IAM, sul ruolo e su come l'accesso viene infine concesso o negato SCPs, consulta Logica di valutazione delle politiche nella documentazione IAM.

RCPs sono barriere che si applicano alle risorse all'interno degli account di un'organizzazione, indipendentemente dal fatto che le risorse appartengano alla stessa organizzazione. Ad esempio SCPs, RCPs non influiscono sulle risorse dell'account di gestione e non concedono alcuna autorizzazione. Quando si collega un RCP a un'unità organizzativa, l'RCP viene ereditato dal figlio OUs e dagli account dell'unità organizzativa. RCPs forniscono il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione e attualmente supportano un sottoinsieme di. Servizi AWS Quando progetti SCPs per te OUs, ti consigliamo di valutare le modifiche utilizzando il simulatore di policy IAM. Dovresti anche esaminare l'ultimo accesso ai dati del servizio in IAM e utilizzarli AWS CloudTrail per registrare l'utilizzo del servizio a livello di API per comprendere il potenziale impatto delle modifiche SCP.

SCPs e RCPs sono controlli indipendenti. Puoi scegliere di abilitare solo SCPs o RCPs utilizzare entrambi i tipi di policy insieme in base ai controlli di accesso che desideri applicare. Ad esempio, se si desidera impedire ai responsabili dell'organizzazione di accedere a risorse esterne all'organizzazione, è possibile applicare questo controllo utilizzando. SCPs Se desideri limitare o impedire alle identità esterne di accedere alle tue risorse, applichi questo controllo utilizzando. RCPs Per ulteriori informazioni e casi d'uso per RCPs e SCPs, consulta Using SCPs and RCPs nella AWS Organizations documentazione.

È possibile utilizzare le politiche AWS Organizations dichiarative per dichiarare e applicare centralmente la configurazione desiderata per un determinato aspetto su larga scala Servizio AWS all'interno dell'organizzazione. Ad esempio, puoi bloccare l'accesso pubblico a Internet alle risorse Amazon VPC in tutta l'organizzazione. A differenza delle politiche di autorizzazione come SCPs e RCPs, le politiche dichiarative vengono applicate nel piano di controllo di un AWS servizio. Le politiche di autorizzazione regolano l'accesso APIs, mentre le politiche dichiarative vengono applicate direttamente a livello di servizio per imporre un intento duraturo. Queste politiche aiutano a garantire che la configurazione di base di an Servizio AWS venga sempre mantenuta, anche quando il servizio introduce nuove funzionalità o. APIs La configurazione di base viene mantenuta anche quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse. Le politiche dichiarative possono essere applicate a un'intera organizzazione o a specifici OUs account.

Ognuno Account AWS ha un singolo utente root che dispone di autorizzazioni complete per tutte le AWS risorse per impostazione predefinita.  Come best practice di sicurezza, si consiglia di non utilizzare l'utente root ad eccezione di alcune attività che richiedono esplicitamente un utente root. Se gestisci più account Account AWS AWS Organizations, puoi disabilitare centralmente l'accesso root e quindi eseguire azioni con privilegi root per conto di tutti gli account membri. Dopo aver gestito centralmente l'accesso root per gli account dei membri, puoi eliminare la password dell'utente root, le chiavi di accesso e i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per gli account membro. Per impostazione predefinita, i nuovi account creati con accesso root gestito centralmente non hanno credenziali utente root. Gli account membro non possono accedere con il proprio utente root o eseguire il recupero della password per il proprio utente root.

AWS Control Toweroffre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account nell' AWS organizzazione, automatizza il provisioning, applica i controlli (che includono controlli preventivi e investigativi) e fornisce una dashboard per la visibilità. Un'ulteriore policy di gestione IAM, un limite di autorizzazioni, è associata a specifici principali IAM (utenti o ruoli) e imposta le autorizzazioni massime che una policy basata sull'identità può concedere a un responsabile IAM.

AWS Organizations ti aiuta a configurare Servizi AWSin modo che si applichino a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite all'interno AWS dell'organizzazione utilizzando CloudTrail e impedire agli account dei membri di disabilitare la registrazione. Puoi anche aggregare centralmente i dati per le regole che hai definito utilizzando AWS Config, in modo da verificare la conformità dei carichi di lavoro e reagire rapidamente alle modifiche. Puoi utilizzarli AWS CloudFormation StackSetsper gestire centralmente gli CloudFormation stack tra gli account e all'interno AWS dell'organizzazione, OUs in modo da poter fornire automaticamente un nuovo account per soddisfare i tuoi requisiti di sicurezza.

La configurazione predefinita prevede l' AWS Organizations utilizzo SCPs come liste di rifiuto. Utilizzando una strategia di elenco di utenti non autorizzati, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega un SCP che neghi un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando si aggiungono nuovi servizi. AWS Le istruzioni Deny sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per. SCPs In un'istruzione in cui l'Effectelemento ha un valore diDeny, è inoltre possibile limitare l'accesso a risorse specifiche o definire le condizioni relative all'entrata SCPs in vigore. Al contrario, un'Allowistruzione in un SCP si applica a tutte le risorse ("*") e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, vedete Strategie per l'utilizzo SCPs nella AWS Organizations documentazione.

Considerazioni di natura progettuale

  • In alternativa, per utilizzarlo SCPs come elenco consentito, devi sostituire l'FullAWSAccessSCP gestito da AWS con un SCP che consenta esplicitamente solo i servizi e le azioni che desideri consentire. Affinché un'autorizzazione sia abilitata per un account specifico, ogni SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e persino collegato all'account stesso) deve consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede l'autorizzazione esplicita di ogni servizio o azione IAM nel percorso dall'unità organizzativa all'unità organizzativa Account AWS .

  • Idealmente, si utilizzerebbe una combinazione di strategie di elenco di rifiuto e di elenco consentito. Utilizzate l'elenco delle autorizzazioni consentite per definire l'elenco delle autorizzazioni Servizi AWS approvate da utilizzare all'interno di un' AWS organizzazione e allegate questo SCP alla radice dell'organizzazione AWS . Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, collegherai il rispettivo SCPs a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di negazione per definire i guardrail aziendali negando esplicitamente azioni IAM specifiche.

  • RCPs si applicano alle risorse per un sottoinsieme di. Servizi AWS Per ulteriori informazioni, consulta Elenco di Servizi AWS tale supporto RCPs nella AWS Organizations documentazione. La configurazione predefinita dei AWS Organizations supporti utilizzati RCPs come elenchi di negazione. Quando viene attivata RCPs nell'organizzazione, una policy AWS gestita richiamata RCPFullAWSAccess viene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione. Non è possibile scollegare questa politica. Questo RCP predefinito consente l'accesso a tutti i principali e alle azioni tramite la valutazione RCP. Ciò significa che fino a quando non inizi a creare e allegare RCPs, tutte le autorizzazioni IAM esistenti continueranno a funzionare come prima. Questa policy AWS gestita non concede l'accesso. È quindi possibile creare un nuovo RCPs elenco di dichiarazioni di rifiuto per bloccare l'accesso alle risorse dell'organizzazione.