As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Tema 5: estabelecer um perímetro de dados
<a name="theme-5"></a>

**Estratégias Essential Eight abordadas**  
Restringir privilégios administrativos

Um *perímetro de dados* é um conjunto de barreiras de proteção de preventivas em seu ambiente da AWS que ajudam a garantir que somente suas identidades de confiança acessem recursos confiáveis das redes esperadas. Essas grades de proteção servem como limites sempre ativos que ajudam a proteger seus dados em um amplo conjunto de recursos. Contas da AWS Essas barreiras de proteção em toda a organização não substituem seus controles de acesso refinados existentes. Em vez disso, eles ajudam a melhorar sua estratégia de segurança, garantindo que todos os usuários, funções e recursos AWS Identity and Access Management (IAM) sigam um conjunto de padrões de segurança definidos.

Você pode estabelecer um perímetro de dados usando políticas que impeçam o acesso de fora dos limites de uma organização, normalmente criadas no AWS Organizations. As três principais condições de autorização de perímetro usadas para estabelecer um perímetro de dados são:
+ **Identidades confiáveis** — Diretores (funções ou usuários do IAM) dentro de você Contas da AWS ou Serviços da AWS agindo em seu nome.
+ **Recursos confiáveis** — Recursos que estão em você Contas da AWS ou são gerenciados Serviços da AWS agindo em seu nome.
+ **Redes esperadas —** Seus data centers locais e nuvens privadas virtuais (VPCs) ou as redes que Serviços da AWS atuam em seu nome.

Considere implementar perímetros de dados entre ambientes de diferentes classificações de dados, como `OFFICIAL:SENSITIVE` ou `PROTECTED`, ou diferentes níveis de risco, como desenvolvimento, teste ou produção. Para obter mais informações, consulte [Criando um perímetro de dados em AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS whitepaper) e [Estabelecendo um perímetro de dados em AWS: Visão geral](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/) (AWS postagem do blog).

## Melhores práticas relacionadas no AWS Well-Architected Framework
<a name="theme-5-best-practices"></a>
+ [SEC03- BP05 Defina barreiras de permissão para sua organização](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07- BP02 Aplique controles de proteção de dados com base na sensibilidade dos dados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## Implementação deste tema
<a name="theme-5-implementation"></a>

### Implementar controles de identidade
<a name="t5-identity-controls"></a>
+ **Permitir que somente identidades de confiança acessem seus recursos**: use [políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) com as chaves de condição `aws:PrincipalOrgID` e `aws:PrincipalIsAWSService`. Isso permite que somente diretores de sua AWS organização e de AWS acessem seus recursos.
+ **Permitir identidades de confiança somente de sua rede**: use [políticas de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) com as chaves de condição `aws:PrincipalOrgID` e `aws:PrincipalIsAWSService`. Isso permite que somente diretores de sua AWS organização e de AWS acessem serviços por meio de VPC endpoints.

### Implementar controles de recursos
<a name="t5-resource-controls"></a>
+ **Permita que suas identidades acessem somente recursos confiáveis —** Use [políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) com a chave `aws:ResourceOrgID` de condição. Isso permite que suas identidades acessem somente recursos em sua AWS organização.
+ **Permitir o acesso a recursos confiáveis somente da sua rede**: use políticas de endpoint da VPC com a chave de condição `aws:ResourceOrgID`. Isso permite que suas identidades acessem serviços somente por meio de endpoints da VPC que fazem parte da sua organização da AWS .

### Implementar controles de rede
<a name="t5-network-controls"></a>
+ **Permita que as identidades acessem recursos somente das redes esperadas** — Use SCPs com as chaves de condição `aws:SourceIp``aws:SourceVpc`,`aws:SourceVpce`, e. `aws:ViaAWSService` Isso permite que suas identidades acessem recursos somente a partir de endereços IP esperados VPCs, endpoints de VPC e por meio de. Serviços da AWS
+ **Permitir o acesso aos seus recursos somente das redes esperadas**: use políticas baseadas em recursos com as chaves de condição `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:ViaAWSService` e `aws:PrincipalIsAWSService`. Isso permite o acesso aos seus recursos somente a partir dos endpoints de VPC esperados VPCs, esperados ou esperados Serviços da AWS, por meio de ou quando a identidade de chamada é uma. IPs AWS service (Serviço da AWS)

## Monitoramento deste tema
<a name="theme-5-monitoring"></a>

### Monitorar políticas
<a name="t5-monitor-policies"></a>
+ Implemente mecanismos de revisão SCPs, políticas de IAM e políticas de VPC endpoint

### Implemente as seguintes AWS Config regras
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`