As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tema 4: gerenciar identidades
Estratégias Essential Eight abordadas
Restringir privilégios administrativos, autenticação multifator
O gerenciamento robusto de identidades e permissões é um aspecto essencial do gerenciamento da segurança na nuvem. Práticas de identidade sólidas equilibram o acesso necessário e o privilégio mínimo. Isso ajuda as equipes de desenvolvimento a se moverem rapidamente sem comprometer a segurança.
Use a federação de identidades para centralizar o gerenciamento de identidades. Isso facilita o gerenciamento do acesso em várias aplicações e serviços, pois você está gerenciando o acesso de um único local. Isso também ajuda a implementar permissões temporárias e autenticação multifator (MFA).
Conceda aos usuários somente as permissões de que eles precisam para executar suas tarefas. O AWS Identity and Access Management Access Analyzer pode validar políticas e verificar o acesso público e entre contas. Recursos como políticas de controle AWS Organizations de serviço (SCPs), condições de política do IAM, limites de permissões do IAM e conjuntos de Centro de Identidade do AWS IAM permissões podem ajudar você a configurar o controle de acesso refinado (FGAC).
Ao realizar qualquer tipo de autenticação, é melhor utilizar credenciais temporárias a fim de reduzir ou eliminar riscos, como credenciais que são divulgadas acidentalmente, compartilhadas ou roubadas. Use perfis do IAM em vez de usuários do IAM.
Use mecanismos de login robustos, como MFA, para reduzir o risco de que as credenciais de login tenham sido divulgadas acidentalmente ou possam ser deduzidas com facilidade. Exija a MFA para o usuário-raiz, e também é possível exigi-la em nível de federação. Se o uso de usuários do IAM for inevitável, aplique a MFA.
Para monitorar e relatar a conformidade, você deve trabalhar continuamente para reduzir as permissões, monitorar as descobertas do analisador de acesso do IAM e remover recursos do IAM não utilizados. Use AWS Config regras para garantir que mecanismos de login robustos sejam aplicados, que as credenciais tenham vida curta e que os recursos do IAM estejam em uso.
Melhores práticas relacionadas no AWS Well-Architected Framework
Implementação deste tema
Implementar federação de identidades
Aplicar permissões de privilégio mínimo
-
Proteja suas credenciais de usuário root e não as use para tarefas diárias
-
Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer
-
Use condições nas políticas do IAM para restringir ainda mais o acesso
-
Revise e remova regularmente usuários, funções, permissões, políticas e credenciais não utilizados
-
Comece com políticas AWS gerenciadas e adote permissões com privilégios mínimos
-
Use o recurso de conjuntos de permissões no Centro de Identidade do IAM
Alternar credenciais
Aplicar a MFA
Monitoramento deste tema
Monitorar acesso de privilégio mínimo
Implemente as seguintes AWS Config regras
-
ACCESS_KEYS_ROTATED -
IAM_ROOT_ACCESS_KEY_CHECK -
IAM_USER_MFA_ENABLED -
IAM_USER_UNUSED_CREDENTIALS_CHECK -
IAM_PASSWORD_POLICY -
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
