Controles de perímetro de dados Perímetro de identidade Perímetro de recurso Perímetro de rede Recursos para saber mais sobre perímetros de dados

Estabeleça barreiras de proteção para permissões usando perímetros de dados

As barreiras de proteção do perímetro de dados devem servir como limites sempre ativos para ajudar a proteger seus dados em um amplo conjunto de contas e recursos da AWS. Os perímetros de dados seguem as práticas recomendadas de segurança do IAM para estabelecer barreiras de proteção de permissões em várias contas. Essas barreiras de proteção de permissões em toda a organização não substituem seus controles de acesso refinados existentes. Em vez disso, elas funcionam como controles de acesso de baixa granularidade que ajudam a melhorar sua estratégia de segurança, garantindo que usuários, perfis e recursos sigam um conjunto de padrões de segurança definidos.

Um perímetro de dados é um conjunto de barreiras de proteção de permissão em seu ambiente da AWS que ajudam a garantir que somente suas identidades confiáveis acessem recursos confiáveis das redes esperadas.

Identidades confiáveis: entidades principais (perfis ou usuários do IAM) em suas AWS contas e AWS serviços agindo em seu nome.
Recursos confiáveis: recursos de propriedade de suas contas da AWS ou de serviços da AWS que atuam em seu nome.
Redes esperadas: seus data centers on-premises e nuvens privadas virtuais (VPCs) ou redes de serviços da AWS agindo em seu nome.

nota

Em alguns casos, talvez seja necessário ampliar o perímetro de dados para incluir o acesso de seus parceiros comerciais confiáveis. Você deve considerar todos os padrões de acesso aos dados pretendidos ao criar uma definição de identidades e recursos confiáveis e redes esperadas específicas para sua empresa e seu uso dos Serviços da AWS.

Os controles de perímetro de dados devem ser tratados como qualquer outro controle de segurança dentro do programa de gerenciamento de riscos e segurança da informação. Isso significa que você deve realizar uma análise de ameaças para identificar riscos potenciais em seu ambiente de nuvem e, com base em seus próprios critérios de aceitação de riscos, selecionar e implementar controles de perímetro de dados apropriados. Para melhor informar a abordagem iterativa baseada em riscos para a implementação do perímetro de dados, você precisa entender quais riscos de segurança e vetores de ameaças são abordados pelos controles de perímetro de dados, bem como suas prioridades de segurança.

Controles de perímetro de dados

Os controles de baixa granularidade do perímetro de dados ajudam você a atingir seis objetivos de segurança distintos em três perímetros de dados por meio da implementação de diferentes combinações de Tipos de políticas e chaves de condição.

Perímetro	Objetivo de controle	Utilizar	Aplicado em	Chaves de contexto de condições globais
Identidade	Somente identidades confiáveis podem acessar meus recursos	RCP	Recursos	aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount
Identidade	Somente identidades confiáveis são permitidas na minha rede	Política de endpoint da VPC	Rede
Recursos	Suas identidades podem acessar apenas recursos confiáveis	SCP	Identidades	aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount
Recursos	Somente recursos confiáveis podem ser acessados de sua rede	Política de endpoint da VPC	Rede
Rede	Suas identidades podem acessar recursos somente das redes esperadas	SCP	Identidades	aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpceAccount aws:VpceOrgPaths aws:VpceOrgID aws:ViaAWSService aws:PrincipalIsAwsService
Rede	Seus recursos somente podem acessados de redes esperadas	RCP	Recursos

É possível pensar nos perímetros de dados como a criação de um limite firme em torno de seus dados para evitar padrões de acesso não intencionais. Embora os perímetros de dados possam impedir um amplo acesso não intencional, você ainda precisa tomar decisões de controle de acesso refinadas. Estabelecer um perímetro de dados não diminui a necessidade de ajustar continuamente as permissões usando ferramentas como o IAM Access Analyzer como parte de sua jornada para obter o privilégio mínimo.

Para impor controles de perímetro de dados em recursos para os quais as RPCs não oferecem suporte no momento, é possível usar políticas baseadas em recursos que são anexadas diretamente aos recursos. Para obter uma lista de serviços que oferecem suporte a RCPs e a políticas baseadas em recursos, consulte Políticas de controle de recursos (RCPs) e Serviços da AWS que funcionam com o IAM.

Para impor controles de perímetro de rede, recomendamos que você use aws:VpceOrgID, aws:VpceOrgPaths e aws:VpceAccount somente se todos os serviços aos quais você deseja restringir o acesso forem atualmente suportados. O uso dessas chaves de condição com serviços não suportados pode levar a resultados de autorização não intencionais. Para obter uma lista de serviços compatíveis as chaves, consulte as Chaves de contexto de condição globais da AWS. Se você precisar aplicar os controles em uma variedade maior de serviços, considere usar aws:SourceVpc e aws:SourceVpce em vez disso.

Perímetro de identidade

Um perímetro de identidade é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que somente identidades confiáveis possam acessar seus recursos e que somente identidades confiáveis sejam permitidas em sua rede. As identidades confiáveis geralmente incluem entidades principais (perfis ou usuários) em suas contas da AWS e serviços da AWS que atuam em seu nome. Todas as outras identidades são consideradas não confiáveis e são impedidas pelo perímetro de identidade, a menos que uma exceção explícita seja concedida.

As seguintes chaves de condição globais ajudam a impor controles de perímetro de identidade com base na sua definição de identidades confiáveis. Use essas chaves nas políticas de controle de recursos para restringir o acesso a recursos, ou nas políticas de endpoint da VPC para restringir o acesso a suas redes.

Identidades pertencentes a você

Você pode usar as seguintes chaves de condição para definir as entidades principais do IAM que você cria e gerencia em sua Contas da AWS.

aws:PrincipalOrgID — É possível usar essa chave de condição para garantir que as entidades principais do IAM que fazem a solicitação pertençam à organização especificada em AWS Organizations.
aws:PrincipalOrgPaths: é possível usar essa chave de condição para garantir que o usuário do IAM, o perfil do IAM, a entidade principal do usuário federado do AWS STS, a entidade principal federada SAML, a entidade principal federada OIDC ou a Usuário raiz da conta da AWS que fez a solicitação pertençam à unidade organizacional (OU) especificada no AWS Organizations.
aws:PrincipalAccount — É possível usar essa chave de condição para garantir que os recursos só possam ser acessados pela conta da entidade principal especificada na política.

Identidades dos serviços da AWS que atuam em seu nome

Você pode usar as seguintes chaves de condição para permitir que os serviços da AWS usem suas próprias identidades para acessar seus recursos quando agirem em seu nome.

aws:PrincipalIsAWSService e aws:SourceOrgID (ou aws:SourceOrgPaths e aws:SourceAccount): é possível usar essas chaves de condição para garantir que, quando as entidades principais do AWS service (Serviço da AWS) acessarem seus recursos, eles o façam somente em nome de um recurso na organização, unidade organizacional ou conta especificada em AWS Organizations.

Para obter mais informações, consulte Estabelecendo um perímetro de dados em AWS: permitir que somente identidades confiáveis acessem os dados da empresa.

Perímetro de recurso

Um perímetro de recurso é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que somente as suas identidades somente possam acessar recursos confiáveis e que somente recursos confiáveis possam ser acessados de sua rede. Os recursos confiáveis geralmente incluem recursos de propriedade de suas contas da AWS ou de serviços da AWS que atuam em seu nome.

As seguintes chaves de condição globais ajudam a impor controles de perímetro de recursos com base na sua definição de recursos confiáveis. Use essas chaves nas Políticas de controle de serviços (SCPs) para restringir quais recursos podem ser acessados por suas identidades ou nas Políticas de endpoint da VPC para restringir quais recursos podem ser acessados de suas redes.

Recursos pertencentes a você

Você pode usar as seguintes chaves de condição para definir os recursos da AWS que você cria e gerencia em suas Contas da AWS.

aws:ResourceOrgID — É possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence à organização especificada em AWS Organizations.
aws:ResourceOrgPaths — É possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence à unidade organizacional especificada em AWS Organizations.
aws:ResourceAccount: é possível usar essa chave de condição para garantir que o recurso que está sendo acessado pertence a Conta da AWS especificada.

Recursos dos serviços da AWS que atuam em seu nome

Em alguns casos, talvez seja necessário permitir o acesso a recursos próprios da AWS, recursos que não pertencem à sua organização e que são acessados por suas entidades principais ou por serviços da AWS que atuam em seu nome. Para obter mais informações sobre esses cenários, consulte Estabelecendo um perímetro de dados emAWS: permitir somente recursos confiáveis da minha organização.

Perímetro de rede

Um perímetro de rede é um conjunto de controles de acesso preventivos de baixa granularidade que ajudam a garantir que suas identidades possam acessar recursos somente de redes esperadas e que seus recursos só possam ser acessados de redes esperadas. As redes esperadas geralmente incluem seus data centers on-premises e nuvens privadas virtuais (VPCs) e redes de serviços da AWS agindo em seu nome.

As seguintes chaves de condição globais ajudam a impor controles de perímetro de rede com base na sua definição de redes esperadas. Use essas chaves nas políticas de controle de serviços (SCPs) para restringir as redes com as quais suas identidades podem se comunicar, ou nas políticas de controle de recursos (RCPs) para restringir o acesso aos recursos às redes esperadas.

Redes pertencentes a você

Você pode usar as seguintes chaves de condição para definir as redes que seus funcionários e aplicações devem usar para acessar seus recursos, como seu intervalo de IP CIDR corporativo e suas VPCs.

aws:SourceIp — É possível usar essa chave de condição para garantir que o endereço IP do solicitante esteja dentro de um intervalo de IP especificado.
aws:SourceVpc — É possível usar essa chave de condição para garantir que o endpoint da VPC pelo qual a solicitação passa pertença à VPC especificada.
aws:SourceVpce — É possível usar essa chave de condição para garantir que a solicitação passe pelo endpoint da VPC especificada.
aws:VpceAccount: você pode usar esta chave de condição para garantir que as solicitações cheguem por meio de endpoints de VPC pertencentes à conta da AWS especificada.
aws:VpceOrgPaths: você pode usar essa chave de condição para garantir que as entidades principais do IAM que fazem a solicitação pertençam à unidade organizacional (UO) especificada em AWS Organizations.
aws:VpceOrgID: você pode usar essa chave de condição para garantir que as solicitações cheguem por meio de endpoints da VPC pertencentes a contas na organização especificada em AWS Organizations.

aws:VpceAccount, aws:VpceOrgPaths, e aws:VpceOrgID são particularmente úteis para implementar controles de perímetro de rede que escalam automaticamente com o uso do seu endpoint da VPC, sem exigir atualizações nas políticas ao criar novos endpoints. Consulte a Chaves de contexto de condição globais da AWS para obter a lista de Serviços da AWS compatíveis essas chaves.

Redes dos serviços da AWS que atuam em seu nome

Você pode usar as seguintes chaves de condição para permitir que os serviços da AWS acessem seus recursos a partir de suas redes quando agirem em seu nome.

aws:ViaAWSService — É possível usar essa chave de condição para garantir que Serviços da AWS possa fazer solicitações em nome de sua entidade principal usando Sessões de acesso direto (FAS).
aws:PrincipalIsAWSService — É possível usar essa chave de condição para garantir que Serviços da AWS possa acessar seus recursos usando Responsáveis pelos serviços da AWS.

Há cenários adicionais em que você precisa permitir o acesso aos Serviços da AWS que acessa esses recursos de fora da rede. Para obter mais informações, consulte Estabelecendo um perímetro de dados em AWS: permitir acesso aos dados da empresa somente de redes confiáveis.

Recursos para saber mais sobre perímetros de dados

Os seguintes recursos podem ajudá-lo a saber mais sobre os perímetros de dados em todo a AWS.

Perímetros de dadosna AWS — Saiba mais sobre os perímetros de dados e seus benefícios e casos de uso.
Série de postagens do blog: Estabelecendo um perímetro de dados na AWS — Essas postagens do blog abordam orientações prescritivas sobre como estabelecer seu perímetro de dados em grande escala, incluindo considerações importantes sobre segurança e implementação.
Exemplos de políticas de perímetro de dados — Este repositório do GitHub contém exemplos de políticas que abrangem alguns padrões comuns para ajudar você a implementar um perímetro de dados na AWS.
Auxiliar de perímetro de dados — Essa ferramenta ajuda você a projetar e antecipar o impacto de seus controles de perímetro de dados analisando a atividade de acesso em seus logs AWS CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pela AWS defasadas

Limites de permissões