Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Best practice per le policyAggiornamenti alle politiche basate sull'identitàPolitica di accesso amministrativo basata sull'identitàPolicy basata sull'identità di accesso in sola lettura

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete

Nota

Quando inizi a utilizzare AWS Shield Network Security Director, creiamo automaticamente un ruolo collegato ai servizi che soddisfa tutti i requisiti minimi di autorizzazione. La creazione e la gestione delle proprie politiche basate sull'identità sono facoltative.

Per fornire un accesso appropriato a Network Security Director, è possibile creare policy basate sull'identità che concedano le autorizzazioni necessarie per l'accesso amministrativo e di sola lettura.

Per ulteriori informazioni sulla creazione e la gestione delle policy IAM, consulta Managed policies and inline policies nella IAM User Guide.

Queste autorizzazioni consentono al responsabile AWS Shield della sicurezza di rete di eseguire un'analisi completa della sicurezza e fornire raccomandazioni accurate sulla sicurezza della rete. Le politiche di esempio fornite in questa guida sono progettate per casi d'uso comuni. È possibile utilizzare queste politiche come punto di partenza e modificarle secondo necessità per soddisfare requisiti specifici.

Esempi di politiche in questa guida

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del responsabile della sicurezza di rete nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.

  • Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.

  • Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse è possibile aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l'utente IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Protezione dell'accesso API con MFA nella Guida per l'utente IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Aggiornamenti alle politiche basate sull'identità

Man mano che vengono aggiunti aggiornamenti e funzionalità a Network Security Director, potrebbe essere necessario aggiornare le politiche basate sull'identità per includere autorizzazioni aggiuntive. Consulta questa guida per informazioni sulle nuove autorizzazioni che potrebbero essere necessarie.

A differenza delle politiche AWS gestite, le politiche gestite dai clienti non vengono aggiornate automaticamente. Sei responsabile del mantenimento e dell'aggiornamento di queste politiche secondo necessità.

Per ulteriori informazioni, consulta Aggiunta di autorizzazioni a un utente nella Guida per l'utente IAM.

Politica di accesso amministrativo basata sull'identità

Crea una policy basata sull'identità con l'esempio seguente per fornire l'accesso amministrativo completo alle operazioni di Network Security Director e la possibilità di creare il ruolo collegato al servizio richiesto.

Nome della politica: NetworkSecurityDirectorAdminPolicy

Descrizione della politica: consente l'accesso amministrativo completo alle operazioni di AWS Shield Network Security Director e fornisce anche l'accesso per creare o eliminare il ruolo collegato al servizio per Network Security Director.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-secusrity-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }

Policy basata sull'identità di accesso in sola lettura

Crea una policy basata sull'identità con il seguente esempio di policy per fornire un accesso in sola lettura alle operazioni del Network Security Director.

Nome della policy: NetworkSecurityDirectorReadOnlyPolicy

Descrizione della politica: consente l'accesso in sola lettura al direttore AWS Shield della sicurezza di rete.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }