Gerenciamento de identidade e acesso - Guia do usuário avançado do AMS
Proteções IAM da Multi-Account Landing Zone (MALZ)Segurança do Amazon InspectorConfigurações não padrão de EPS da landing zone multiconta do AMSGuardrails AMSPolíticas de controle de serviços MALZ

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade e acesso

AWS Identity and Access Management (IAM) é um serviço web que ajuda você a controlar com segurança o acesso aos AWS recursos. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos. Durante a integração do AMS, você é responsável por criar funções de administrador do IAM entre contas em cada uma das suas contas gerenciadas.

Proteções IAM da Multi-Account Landing Zone (MALZ)

O AMS Multi-Account Landing Zone (MALZ) exige a confiança do Active Directory (AD) como objetivo principal do projeto de gerenciamento de acesso ao AMS para permitir que cada organização (tanto a AMS quanto o cliente) gerencie os ciclos de vida de suas próprias identidades. Isso evita a necessidade de ter credenciais no diretório um do outro. A confiança unidirecional é configurada para que o Active Directory gerenciado dentro do AD Conta da AWS confie no AD gerenciado ou de propriedade do cliente para autenticar os usuários. Como a confiança é apenas uma forma, isso não significa que o AD gerenciado seja confiável para o Active Directory do cliente.

Nessa configuração, o diretório de clientes que gerencia as identidades dos usuários é conhecido como Floresta de Usuários, e o AD gerenciado ao qual as EC2 instâncias da Amazon estão anexadas é conhecido como Floresta de Recursos. Esse é um padrão de design da Microsoft comumente utilizado para autenticação do Windows; para obter mais informações, consulte Modelos de design florestal.

Esse modelo permite que ambas as organizações automatizem seus respectivos ciclos de vida e permite que você e o AMS revoguem rapidamente o acesso se um funcionário deixar a organização. Sem esse modelo, se ambas as organizações usassem um diretório comum (ou criassem users/groups nos diretórios uma da outra), ambas precisariam incluir fluxos de trabalho adicionais e sincronizações de usuários para contabilizar a entrada e saída dos funcionários. Isso introduz riscos, pois esse processo tem latência e pode estar sujeito a erros.

Pré-requisitos de acesso ao MALZ

Integração com o MALZ Identity Provider para acesso ao console AWS/AMS, CLI, SDK.

As relações entre o provedor de identidade e o AWS IAM AWS Management Console, o e o AMS mudam o gerenciamento.

Confiança unidirecional para EC2 instâncias da Amazon em sua conta AMS.

A direção da confiança é unidirecional: das EC2 instâncias da Amazon ao domínio do Active Directory da sua organização.

Segurança do Amazon Inspector

O serviço Amazon Inspector monitora a segurança de suas pilhas gerenciadas pelo AMS. O Amazon Inspector é um serviço automatizado de avaliação de segurança que ajuda a identificar lacunas na segurança e conformidade da infraestrutura implantada. AWS As avaliações de segurança do Amazon Inspector permitem que você avalie automaticamente as pilhas quanto à exposição, vulnerabilidades e desvios das melhores práticas, verificando a acessibilidade e vulnerabilidades não intencionais da rede em suas instâncias da Amazon. EC2 Depois de executar uma avaliação, o Amazon Inspector fornece uma lista detalhada das descobertas de segurança, priorizadas de acordo com seu nível de severidade. As avaliações do Amazon Inspector são oferecidas como pacotes de regras predefinidos mapeados de acordo com as melhores práticas e definições de segurança comuns. Essas regras são atualizadas regularmente por pesquisadores AWS de segurança. Para obter mais informações sobre o Amazon Inspector, acesse Amazon Inspector.

AMS Amazon Inspector FAQs

  • O Amazon Inspector está instalado em minhas contas AMS por padrão?

    Não. O Amazon Inspector não faz parte da compilação padrão da AMI ou da ingestão de carga de trabalho.

  • Como faço para acessar e instalar o Amazon Inspector?

    Envie um RFC (Gerenciamento | Outro | Outro | Criar) para solicitar acesso e instalação da conta ao Inspector e a equipe de operações do AMS modificará a função ReadOnly Cliente_ para fornecer acesso ao console do Amazon Inspector (sem acesso ao SSM).

  • O agente do Amazon Inspector precisa ser instalado em todas as EC2 instâncias da Amazon que eu quero avaliar?

    Não, as avaliações do Amazon Inspector com o pacote de regras de acessibilidade de rede podem ser executadas sem um agente para qualquer instância da Amazon. EC2 O agente é necessário para pacotes de regras de avaliação do host. Para obter mais informações sobre a instalação do agente, consulte Instalando agentes do Amazon Inspector.

  • Há algum custo adicional para esse serviço?

    Sim. Os preços do Amazon Inspector podem ser encontrados no site de preços do Amazon Inspector.

  • Quais são as descobertas do Amazon Inspector?

    As descobertas são possíveis problemas de segurança descobertos durante a avaliação do Amazon Inspector do alvo de avaliação selecionado. As descobertas são exibidas no console do Amazon Inspector ou na API e contêm uma descrição detalhada dos problemas de segurança e recomendações para resolvê-los.

  • Os relatórios da avaliação do Amazon Inspector estão disponíveis?

    Sim. Um relatório de avaliação é um documento que explica o que foi testado em uma execução de avaliação e os resultados da avaliação. Os resultados de sua avaliação são formatados em relatórios padrão, que podem ser gerados para compartilhar resultados com sua equipe para ações de remediação, para enriquecer os dados de auditoria de conformidade ou para armazenamento para referência futura. Um relatório de avaliação do Amazon Inspector pode ser gerado para uma execução de avaliação depois de concluída com sucesso.

  • Posso usar tags para identificar as pilhas com as quais eu quero executar relatórios do Amazon Inspector?

    Sim.

  • As equipes de operações do AMS terão acesso aos resultados da avaliação do Amazon Inspector?

    Sim. Qualquer pessoa com acesso ao console do Amazon Inspector na AWS pode visualizar descobertas e relatórios de avaliação.

  • As equipes de operações do AMS recomendarão ou tomarão medidas com base nas conclusões dos relatórios do Amazon Inspector?

    Não. Se você quiser que as alterações sejam feitas com base nas descobertas do relatório do Amazon Inspector, você deve solicitar alterações por meio de um RFC (Gerenciamento | Outro | Outro | Atualização).

  • O AMS será notificado quando eu executar um relatório do Amazon Inspector?

    Quando você solicita o acesso ao Amazon Inspector, o operador do AMS que executa o RFC notifica seu CSDM sobre a solicitação.

Para obter mais informações, consulte Amazon Inspector FAQs.

Configurações não padrão de EPS da landing zone multiconta do AMS

Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na documentação do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting Started with AWS Artifact.

Guardrails AMS

Uma grade de proteção é uma regra de alto nível que fornece governança contínua para seu ambiente geral de AMS.

Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na documentação do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting Started with AWS Artifact.

Políticas de controle de serviços MALZ

Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na documentação do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting Started with AWS Artifact.